Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
ham
October 04, 2021
Technology
0
130
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
Tweet
Share
More Decks by ham
See All by ham
AIと過ごす1日〜全業務フローにAIを組み込む実践ガイド〜
ham0215
0
100
生成AIによる生産性向上〜テック企業やファインディの活用事例〜
ham0215
1
100
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
490
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
450
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
100
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
490
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
210
コード品質向上で得られる効果と実践的取り組み
ham0215
2
380
開発者体験を定量的に把握する手法と活用事例
ham0215
2
350
Other Decks in Technology
See All in Technology
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
rfdnxbro
0
450
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
feststelltaste
1
220
タスク管理も1on1も、もう「管理」じゃない ― KiroとBedrock AgentCoreで変わった"判断の仕事"
yusukeshimizu
5
2.1k
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
aoto
PRO
2
240
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
yuriemori
0
170
Kiro のクレジットを使い切る!
otanikohei2023
0
120
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
230
モブプログラミング再入門 ー 基本から見直す、AI時代のチーム開発の選択肢 ー / A Re-introduction of Mob Programming
takaking22
5
860
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
1.5k
EMからVPoEを経てCTOへ:マネジメントキャリアパスにおける葛藤と成長
kakehashi
PRO
9
1.4k
マルチプレーンGPUネットワークを実現するシャッフルアーキテクチャの整理と考察
markunet
2
190
マネージャー版 "提案のレベル" を上げる
konifar
21
14k
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
55
8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Designing Powerful Visuals for Engaging Learning
tmiket
0
260
Building Applications with DynamoDB
mza
96
6.9k
Optimizing for Happiness
mojombo
378
71k
HDC tutorial
michielstock
1
510
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
110
What does AI have to do with Human Rights?
axbom
PRO
1
2k
How to train your dragon (web standard)
notwaldorf
97
6.5k
[SF Ruby Conf 2025] Rails X
palkan
2
820
A designer walks into a library…
pauljervisheath
210
24k
The Curse of the Amulet
leimatthew05
1
9.7k
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
ham0215
rfdnxbro
feststelltaste
yusukeshimizu
aoto
yuriemori
otanikohei2023
jpishikawa
takaking22
mizutani
kakehashi
markunet
konifar
morganepeng
tmiket
mza
mojombo
michielstock
techseoconnect
axbom
notwaldorf
palkan
pauljervisheath
leimatthew05
