GraphQL API中应关注哪些漏洞？漏洞赏金案例分析

视频概览

• 发布时间：2025年6月24日
• 观看次数：6,212次
• 分享次数：316次

资源链接

📧 获取完整案例研究：https://bbre.dev/gql
✉️ 订阅邮件列表：https://bbre.dev/nl
📣 关注Twitter：https://bbre.dev/tw

内容摘要

本视频通过分析已公开的GraphQL漏洞赏金报告，揭示实际环境中常见的GraphQL实现漏洞。涵盖的漏洞类型包括：

未授权数据访问漏洞

• 案例参考：https://hackerone.com/reports/343464

未授权数据创建/修改漏洞

• 案例参考：https://hackerone.com/reports/2233480

未授权数据删除漏洞

• 案例参考：https://hackerone.com/reports/858671

拒绝服务（DoS）攻击

• 技术分析：GraphQL查询复杂度导致的资源耗尽
• 参考链接：https://www.landh.tech/blog/20240304-…

SQL注入漏洞

• 案例研究：https://hackerone.com/reports/435066

GraphQL架构信息泄露

• 讨论：是否应作为漏洞上报

CSRF（跨站请求伪造）攻击

• 技术分析：https://doyensec.com/resources/Doyens…
• GitHub OAuth流程绕过案例：https://blog.teddykatz.com/2019/11/05…

时间戳章节

00:00 简介
0:19 GraphQL未授权数据访问漏洞
2:15 GraphQL未授权数据创建/修改漏洞
3:27 GraphQL未授权数据删除漏洞
6:11 GraphQL导致的DoS攻击
7:29 GraphQL中的SQL注入漏洞
10:09 GraphQL架构泄露是否算作漏洞
11:28 GraphQL CSRF攻击