Jak zabezpieczyczyć publiczne API GraphQL

Transcript

1. JAK ZABEZPIECZYĆ PUBLICZNE API GRAPHQL? ☠

2. KIM JESTEM? ▸ Michał Taszycki (@mehowte) ▸ 16 lat doświadczenia

   w programowaniu ▸ Twórca programów szkoleniowych ▸ GraphQL Mastery ▸ Kurs Reacta ▸ 64bites (o assemblerze w Commodore 64) ▸ Organizator Festiwalu React.js i GraphQL

3. GraphQL.pl/devjs KOD ŹRÓDŁOWY, WSZYSTKIE NARZĘDZIA, SLAJDY, ODNOŚNIKI I PROMOCJE

4. DLA KOGO JEST TA PREZENTACJA?

5. DLA KOGO? ‣ Znasz już podstawy GraphQL ‣ Chcesz stworzyć

   swój pierwszy publiczny serwer GraphQL ‣ Uważasz, że nie da się dobrze zabezpieczyć serwera GraphQL

6. DLA KOGO NIEKONIECZNIE? ‣ Wiesz już wszystko o GraphQL ‣

   Radzisz sobie z atakami Brute Force i DOS/DDOS ‣ Nie interesuje Cię GraphQL? ‣ Uważasz, że REST API zawsze wygrywa z GraphQL

7. FAKTY SĄ TAKIE

8. GRAPHQL JEST LEPSZY NIŻ REST API

9. GRAPHQL JEST LEPSZY NIŻ REST API

10. ALE…

11. None

12. TRUDNIEJ GO ZABEZPIECZYĆ

13. ZABEPIECZANIE DOWOLNEGO API = TEMAT RZEKA

14. SKUPIMY SIĘ NA 2 RODZAJACH ATAKÓW

15. KTÓRE NIESTETY W GRAPHQL SĄ BAJECZNIE PROSTE

16. 1. DOS/DDOS

17. 1. DOS/DDOS 2. BRUTE FORCE

18. MAMY TAKIE API

19. CO MOŻE PÓJŚĆ NIE TAK?

20. CO MOŻE PÓJŚĆ NIE TAK?

21. ZOBACZMY😁

22. 100 UŻYTKOWNIKÓW KAŻDY MA 10 PRZYJACIÓŁ

23. 😀

24. 100x 😀

25. DOSTAJEMY 100 ELEMENTÓW 100x 😀

26. 😀

27. 100x 😀

28. 100x 10x 🙂

29. DOSTAJEMY 1000 ELEMENTÓW 100x 10x 🙂

30. 😀

31. 100x 😀

32. 100x 10x 🙂

33. 100x 10x 10x 😐

34. DOSTAJEMY 10 000 ELEMENTÓW 100x 10x 10x 😐

35. 😀

36. 100x 😀

37. 100x 10x 🙂

38. 100x 10x 10x 😐

39. 100x 10x 10x 10x 🙁

40. 100x 10x 10x 10x 10x 😳

41. DOSTAJEMY 1 000 000 ELEMENTÓW 100x 10x 10x 10x 10x

    😱

42. DDOS W GRAPHQL JEST NIEPOTRZEBNY

43. JEDNO PROSTE ZAPYTANIE = DENIAL OF SERVICE

44. JAK TEMU ZARADZIĆ?

45. DOPUSZCZAĆ MAKSYMALNĄ GŁĘBOKOŚĆ ZAPYTANIA

46. …

47. None

48. 😀

49. OK A CO JEŚLI…?

50. 10000 UŻYTKOWNIKÓW KAŻDY MA 1000 PRZYJACIÓŁ

51. 😀

52. 10 000x 😐

53. 1000x 10 000x 😳

54. DOSTAJEMY 10 000 000 ELEMENTÓW W TABLICY 1000x 10 000x

    😱

55. JAK TEMU ZARADZIĆ?

56. DODAĆ STRONICOWANIE

57. 1. NOWY TYP SKALARNY

58. 2. STRONICOWANIE W SCHEMA

59. 2. STRONICOWANIE W SCHEMA

60. 3. OBSŁUGA W RESOLVERACH

61. 3. OBSŁUGA W RESOLVERACH

62. 😀

63. 😀 10x

64. 😀 10x 10x

65. 🙂 10x 10x 10x

66. 10x 10x 10x 10x 😐

67. DOSTAJEMY 10 000 ELEMENTÓW 10x 10x 10x 10x 😐

68. MOŻEMY ROZLUŹNIĆ LIMIT GŁĘBOKOŚCI (ALE NIE WYELIMINOWAĆ)

69. OK A CO JEŚLI…?

70. KTOŚ PODA ZBYT DUŻY LIMIT?

71. None

72. A NIC 😃

73. OK A CO JEŚLI…?

74. KTOŚ UŻYJE ALIASÓW?

75. 😀 …

76. 😀 … 10x

77. 😀 … 10x 10x

78. 😀 … 10x 10x +

79. 😀 … 10x 10x + 10x 10x

80. 😀 … 10x 10x + 10x 10x + 10x 10x

81. 😮 …

82. 🥺 … 10x 10x

83. 😢 … 10x 10x + 10x 10x

84. 😰 … 10x 10x + 10x 10x + 10x 10x

85. 😭 … (10x10) x 1 000 000

86. 🤯 … DOSTAJEMY 100 000 000 ELEMENTÓW

87. ALIASY UMOŻLIWIAJĄ TEŻ ATAKI TYPU…

88. BRUTE FORCE

89. MAMY TAKIE API

90. 1. NIE PAMIĘTAM HASŁA

91. 1. NIE PAMIĘTAM HASŁA

92. 2. PROSZĘ O RESET

93. 2. PROSZĘ O RESET

94. 3. DOSTAJĘ TOKEN

95. 4. ZMIENIAM HASŁO

96. 4. ZMIENIAM HASŁO

97. 5. LOGUJĘ SIĘ

98. 5. LOGUJĘ SIĘ

99. BEZPIECZNE?

100. BEZPIECZNE?

101. NIE MASZ EMAILA I TOKENA? NIE ZMIENISZ HASŁA 😏

102. OK A CO JEŚLI…?

103. MASZ EMAIL? ZGADNIESZ TOKEN? 🤔

104. 1. ZGADUJĘ

105. 1. ZGADUJĘ

106. 1. ZGADUJĘ

107. 1. ZGADUJĘ

108. 2. LOGUJĘ SIĘ

109. 2. LOGUJĘ SIĘ

110. JAK TEMU ZARADZIĆ?

111. 1. GENERUJ BEZPIECZNIEJSZE TOKENY

112. NIE TAKIE! 1. GENERUJ BEZPIECZNIEJSZE TOKENY

113. NIE TAKIE! 1. GENERUJ BEZPIECZNIEJSZE TOKENY

114. 🤡 NIE TAKIE! 1. GENERUJ BEZPIECZNIEJSZE TOKENY

115. 2. UTRUDNIJ BRUTE FORCE

116. ANALIZA KOSZTU ZAPYTANIA

117. ANALIZA KOSZTU ZAPYTANIA

118. ANALIZA KOSZTU ZAPYTANIA

119. DYREKTYWA KONTROLI KOSZTU

120. MNOŻYMY KOSZT PRZEZ ROZMIAR STRONY

121. MNOŻYMY KOSZT PRZEZ ROZMIAR STRONY

122. NADAJEMY DUŻY KOSZT NIEBEZPIECZNYM OPERACJOM

123. 😀

124. 😀

125. 😀

126. 😀

127. 😀

128. 😀

129. OK A CO JEŚLI…?

130. KTOŚ PUŚCI WIELE ZAPYTAŃ?

131. LIMITUJEMY JE

132. ALBO NA POZIOMIE SERWERA (TAK SAMO JAK W REST API)

133. ALBO NA POZIOMIE ZAPYTANIA GRAPHQL

134. DODAJEMY DYREKTYWĘ RATE LIMIT

135. DODAJEMY DO KONTEKSTU IDENTYFIKATOR KLIENTA

136. KONFIGURUJEMY DYREKTYWĘ RATE LIMIT

137. DEFINIUJEMY DYREKTYWĘ W SCHEMA

138. DEFINIUJEMY JAK CZĘSTO MOŻNA WYWOŁAĆ ZAPYTANIE/MUTACJĘ

139. None

140. 😀

141. 2 SEKUNDY PÓŹNIEJ

142. 😀 2 SEKUNDY PÓŹNIEJ

143. TO WYSTARCZY NA POCZĄTEK

144. 1.OGRANICZ GŁĘBOKOŚĆ

145. 1.OGRANICZ GŁĘBOKOŚĆ 2.STRONICUJ DANE

146. 1.OGRANICZ GŁĘBOKOŚĆ 2.STRONICUJ DANE 3.OGRANICZ CZĘSTOTLIWOŚĆ

147. 1.OGRANICZ GŁĘBOKOŚĆ 2.STRONICUJ DANE 3.OGRANICZ CZĘSTOTLIWOŚĆ 4.ANALIZUJ KOSZT (OPCJONALNIE)

148. A PRZEDE WSZYSTKIM

149. MONITORUJ ZAPYTANIA! (MUSISZ WIEDZIEĆ KTO, KIEDY I JAK CIĘ ATAKUJE)

150. CO WIĘCEJ?

151. OWASP - GRAPHQL CHEAT SHEET

152. MACIEJ KOFEL - HACKOWANIE GRAPHQL

153. None

154. GraphQL Mastery

155. GraphQL Mastery Najlepszy sposób na naukę Full-Stack GraphQL od zera

156. GraphQL Mastery Nauczysz się GraphQL w praktyce. Zrobisz: 1. Backend

     2. Frontend 3. Deployment Nawet jeszcze dziś

157. ✓ 7 modułów lekcyjnyc h ✓ 158 lekcji wideo (23

     godziny materiału ) ✓ 12 miesięcy dostępu do materiałów i aktualizacj i ✓ 12 miesięcy dostępu do grupy wsparcia GraphQL Mastery

158. KOD ŹRÓDŁOWY, WSZYSTKIE NARZĘDZIA, SLAJDY, ODNOŚNIKI I PROMOCJE GraphQL.pl/devjs