Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
ham
October 04, 2021
Technology
0
110
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
Tweet
Share
More Decks by ham
See All by ham
開発者体験を定量的に把握する手法と活用事例
ham0215
0
180
チームトポロジーの4つのチームタイプ
ham0215
1
21
生成AI活用でエンジニア組織はどう変わったのか?
ham0215
2
89
メンバーがオーナーシップを発揮しやすいチームづくり
ham0215
2
460
Platform Engineeringのエッセンスを小規模な開発組織に取り入れた事例紹介
ham0215
9
1.7k
開発者の定量・定性データを組み合わせて開発者体験を把握するための取り組み
ham0215
5
2.2k
アジャイルを始めるための基礎を固める
ham0215
1
110
開発者体験を意識した開発チームの生産性向上の取り組み
ham0215
3
980
MySQLのViewを活用した安全なマルチテナントの実現方法
ham0215
2
1.2k
Other Decks in Technology
See All in Technology
いまから始めるAWS CDK 〜モダンなインフラ構築入門〜/iac-night-cdk-introduction
tomoki10
8
2.2k
MLflowの現在と未来 / MLflow Present and Future
databricksjapan
1
180
社内限定だった「ChatGPTオペレーター勉強会」の極秘資料を無料で特別公開
tenho7_kodama
1
130
Cloudflare Pages 4年使って分かった良さと注意点
kyosuke
0
210
プラクティスの名前は言わない方がいい / Not to mention the name of the practice
3l4l5
8
3.3k
我々に残された仕事はあるのか?
taishiyade
0
150
EM初心者として半年間マネジャーをやってみて分かったこと
sansantech
PRO
0
130
生成AIで生産性向上
tomuro
0
180
AI の活用における課題と現状、今後の期待
asei
2
110
書籍『入門 OpenTelemetry』 / Intro of OpenTelemetry book
ymotongpoo
11
690
Cursorで学ぶAIエディター / understand-ai-editor-by-cursor
shuzon
0
270
Agent Mode とは?GitHub Copilot の新機能を探る
lescoggi
1
140
Featured
See All Featured
Statistics for Hackers
jakevdp
797
220k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
BBQ
matthewcrist
87
9.5k
Become a Pro
speakerdeck
PRO
26
5.2k
The Invisible Side of Design
smashingmag
299
50k
Agile that works and the tools we love
rasmusluckow
328
21k
Stop Working from a Prison Cell
hatefulcrawdad
268
20k
Designing Experiences People Love
moore
140
23k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
115
51k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
ham0215
tomoki10
databricksjapan
tenho7_kodama
kyosuke
3l4l5
taishiyade
sansantech
tomuro
asei
ymotongpoo
shuzon
lescoggi
jakevdp
chriscoyier
matthewcrist
speakerdeck
smashingmag
rasmusluckow
hatefulcrawdad
moore
samanthasiow
aki_iinuma
marcelosomers
denniskardys
