Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
ham
October 04, 2021
Technology
0
130
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
Tweet
Share
More Decks by ham
See All by ham
AIと過ごす1日〜全業務フローにAIを組み込む実践ガイド〜
ham0215
0
110
生成AIによる生産性向上〜テック企業やファインディの活用事例〜
ham0215
1
100
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
500
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
450
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
110
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
500
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
210
コード品質向上で得られる効果と実践的取り組み
ham0215
2
380
開発者体験を定量的に把握する手法と活用事例
ham0215
2
350
Other Decks in Technology
See All in Technology
猫でもわかるKiro CLI(AI 駆動開発への道編)
kentapapa
0
220
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
1
750
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
hiroramos4
PRO
1
200
楽しく学ぼう!ネットワーク入門
shotashiratori
4
3.3k
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/12 - 2026/2
oracle4engineer
PRO
0
150
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
genda
0
750
Google系サービスで文字起こしから勝手にカレンダーを埋めるエージェントを作った話
risatube
0
190
PMとしての意思決定とAI活用状況について
lycorptech_jp
PRO
0
130
AIエージェント時代に備える AWS Organizations とアカウント設計
kossykinto
3
1.1k
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
masasuzu
2
390
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
nrslib
13
8.4k
組織全体で実現する標準監視設計
yuobayashi
3
490
Featured
See All Featured
Between Models and Reality
mayunak
2
230
Claude Code のすすめ
schroneko
67
220k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
150
Docker and Python
trallard
47
3.8k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
290
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
83
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
AI: The stuff that nobody shows you
jnunemaker
PRO
3
400
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.4k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
150
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
SiteGround - Reliable hosting with speed, security, and support you can count on.
ham0215
kentapapa
cmusudakeisuke
hiroramos4
shotashiratori
oracle4engineer
genda
risatube
lycorptech_jp
kossykinto
masasuzu
nrslib
yuobayashi
mayunak
schroneko
nikkihalliwell
trallard
skipperchong
chriscoyier
auna
tammyeverts
honnibal
jnunemaker
eileencodes
sarafernandez
