Graphql-Mutation - Pentesting Web

D'autre part, les mutations en GraphQL sont des opérations qui permettent aux clients de modifier les données dans l'API. Contrairement aux requêtes, qui autorisent uniquement la lecture de données, les mutations permettent aux clients d'ajouter, de mettre à jour ou de supprimer des données. Cela signifie que les mutations ont le potentiel d'être utilisées pour effectuer des changements importants dans la base de données sous-jacente de l'API. Si elles ne sont pas correctement sécurisées, les mutations peuvent être exploitées par des attaquants pour effectuer des modifications malveillantes dans l'API, telles que la suppression de données importantes ou la création de nouveaux enregistrements.

Nous rencontrons le contenu suivant pour créer des publications :

Nous interceptons la demande avec Burpsuite :

Si nous changeons le numéro de l'author_id, nous verrons que nous sommes capables de créer des publications en nous faisant passer pour d'autres :

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?