InQL Scanner v3 - 刚刚发布！

2020年11月19日 - 作者：Andrea Brancaleoni

我们非常高兴地宣布，InQL的新主要版本现已在我们发布页面上提供。

如果您还不熟悉，InQL是一款用于GraphQL技术的安全测试工具。它可以用作独立脚本或Burp Suite扩展。 通过将InQL v3功能与向Burp Repeater发送查询模板的能力相结合，我们使得利用GraphQL查询和变更中的漏洞变得非常容易。这大大降低了针对GraphQL技术栈进行安全研究的门槛。

以下是3.0版本中实现的主要功能的简要介绍：

新的IIR（Introspection Intermediate Representation）和精确查询生成

InQL现在利用内部自省中间表示（IIR）来使用从类型自省获得的详细信息，并生成任意嵌套的查询，支持任何标量类型、枚举、数组和对象。IIR使得从Scanner到其他工具组件（Repeater和GraphQL控制台）的无缝“发送到Repeater”功能成为可能。

新的循环检测器

新的IIR允许我们通过简单地访问启用GraphQL自省的端点来检查定义的GraphQL模式中的循环。在这种情况下，循环是GraphQL模式中的一条路径，它使用递归对象的方式导致无限嵌套。循环检测非常有用，并通过采用图解决算法自动化了繁琐的测试过程。在我们过去的一些客户项目中，这个工具能够在几分钟内找到数百万个循环。

新的请求计时器

InQL 3.0.0有一个集成的查询计时器。这个查询计时器是对请求计时器的重新构想，可以按查询名称和正文进行过滤。查询计时器默认启用，尤其与循环检测器结合使用时非常有用。测试人员可以在graphql编辑器模式（Repeater和GraphIQL）之间切换，以识别DoS查询。查询计时器通过计算每个查询的执行时间来展示攻击此类易受攻击的graphql端点的能力。

错误修复和未来发展

我们非常感谢大家在我们之前的版本中报告问题。我们已经对各种功能和UX错误进行了修复，包括由最新2020.11更新中Burp Suite突然更改引起的一个棘手错误。

我们很高兴看到社区将InQL视为GraphQL安全测试的“首选”标准。更多功能即将推出，因此请继续通过我们的Github问题页面提交您的请求和错误报告。我们非常感激您的反馈！

这个项目是在Doyensec研究岛上用爱制作的。

其他相关文章：

• InQL v5：技术深度探讨 - 2023年8月17日
• 介绍代理丰富序列图（PESD） - 2023年2月14日
• 您一直忽略的那个GraphQL问题 - 2021年5月20日
• InQL Scanner v2发布！ - 2020年6月11日
• InQL Scanner - 2020年3月26日
• 介绍burp-rest-api v2 - 2018年11月5日
• GraphQL - 安全概述和测试技巧 - 2018年5月17日
• 开发Burp Suite扩展培训 - 2017年3月2日