Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
ham
October 04, 2021
Technology
0
120
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
Tweet
Share
More Decks by ham
See All by ham
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
300
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
380
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
76
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
410
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
120
コード品質向上で得られる効果と実践的取り組み
ham0215
2
320
開発者体験を定量的に把握する手法と活用事例
ham0215
2
290
チームトポロジーの4つのチームタイプ
ham0215
2
110
生成AI活用でエンジニア組織はどう変わったのか?
ham0215
3
240
Other Decks in Technology
See All in Technology
AI Agent Dojo #2 watsonx Orchestrateフローの作成
oniak3ibm
PRO
0
120
Geospatialの世界最前線を探る [2025年版]
dayjournal
1
220
スタートアップにおけるこれからの「データ整備」
shomaekawa
2
480
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
43k
技育祭2025【秋】 企業ピッチ/登壇資料(高橋 悟生)
hacobu
PRO
0
110
能登半島地震で見えた災害対応の課題と組織変革の重要性
ditccsugii
0
960
カンファレンスに託児サポートがあるということ / Having Childcare Support at Conferences
nobu09
1
580
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
3
1.9k
防災デジタル分野での官民共創の取り組み (2)DIT/CCとD-CERTについて
ditccsugii
0
300
LLMアプリの地上戦開発計画と運用実践 / 2025.10.15 GPU UNITE 2025
smiyawaki0820
1
570
AIツールでどこまでデザインを忠実に実装できるのか
oikon48
6
3.4k
20251007: What happens when multi-agent systems become larger? (CyberAgent, Inc)
ornew
1
290
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
44
7.8k
For a Future-Friendly Web
brad_frost
180
10k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
A better future with KSS
kneath
239
18k
Balancing Empowerment & Direction
lara
4
690
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.7k
Large-scale JavaScript Application Architecture
addyosmani
514
110k
Speed Design
sergeychernyshev
32
1.2k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
A Tale of Four Properties
chriscoyier
161
23k
Leading Effective Engineering Teams in the AI Era
addyosmani
6
440
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.5k
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
ham0215
oniak3ibm
dayjournal
shomaekawa
sansan33
hacobu
ditccsugii
nobu09
kurochan
smiyawaki0820
oikon48
ornew
aleyda
brad_frost
jmmastey
kneath
lara
reverentgeek
addyosmani
sergeychernyshev
keavy
chriscoyier
honnibal
