Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
ham
October 04, 2021
Technology
0
130
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
Tweet
Share
More Decks by ham
See All by ham
AIと過ごす1日〜全業務フローにAIを組み込む実践ガイド〜
ham0215
0
81
生成AIによる生産性向上〜テック企業やファインディの活用事例〜
ham0215
1
89
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
470
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
440
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
97
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
480
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
200
コード品質向上で得られる効果と実践的取り組み
ham0215
2
370
開発者体験を定量的に把握する手法と活用事例
ham0215
2
340
Other Decks in Technology
See All in Technology
1,000 にも届く AWS Organizations 組織のポリシー運用をちゃんとしたい、という話
kazzpapa3
0
180
プロポーザルに込める段取り八分
shoheimitani
1
650
AIエージェントを開発しよう!-AgentCore活用の勘所-
yukiogawa
0
190
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
760
Tebiki Engineering Team Deck
tebiki
0
24k
Cosmos World Foundation Model Platform for Physical AI
takmin
0
980
Frontier Agents (Kiro autonomous agent / AWS Security Agent / AWS DevOps Agent) の紹介
msysh
3
190
コンテナセキュリティの最新事情 ~ 2026年版 ~
kyohmizu
6
2k
Context Engineeringが企業で不可欠になる理由
hirosatogamo
PRO
3
670
SchooでVue.js/Nuxtを技術選定している理由
yamanoku
3
210
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
muziyoshiz
1
2.1k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
10k
Featured
See All Featured
Done Done
chrislema
186
16k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
120
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
We Are The Robots
honzajavorek
0
170
Ruling the World: When Life Gets Gamed
codingconduct
0
150
Side Projects
sachag
455
43k
Claude Code のすすめ
schroneko
67
210k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
1.8k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
470
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
60
42k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
67
KATA
mclloyd
PRO
34
15k
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
SiteGround - Reliable hosting with speed, security, and support you can count on.
ham0215
kazzpapa3
shoheimitani
yukiogawa
hiroyaonoe
tebiki
takmin
msysh
kyohmizu
hirosatogamo
yamanoku
muziyoshiz
fullkaiten
chrislema
sarafernandez
inesmontani
honzajavorek
codingconduct
sachag
schroneko
aleyda
kimpetersen
rkaga
livdayseo
mclloyd
