Neue Sicherheitstools zur Vollbringung welcher GraphQL-Sicherheit

Eine gute Sache an GraphQL ist, dass die Abfragesprache es leicht macht, mit strukturierten Information zu interagieren und mehrere Aktionen mit einem einzigen API-Prozeduraufruf auszuführen. Dieselbe Vielseitigkeit macht es jedoch schwieriger, mit GraphQL erstellte APIs zu sichern, wodurch unter Umständen mehr Information verloren werden wie beabsichtigt.

Salt Security hat vor kurzem seine Salt Security API Protection Platform aktualisiert, um robustere Tools zum Schutzmechanismus von GraphQL-APIs anzubieten. Die Tools basieren gen künstlicher Intelligenz und maschinellem Lernen, um eine Sockel zu Händen dies normale API-Verhalten zu erstellen und böswillige Bemühungen zu identifizieren, wenn die Akteure die APIs im Rahmen ihrer Aufklärungsaktivitäten untersuchen. Ziel des Unternehmens ist es, Entwicklern proaktiv Tools zur Wahrung dieser APIs zur Verfügung zu stellen, vorher die Angriffe typischerweise werden.

GraphQL ist eine Open-Source-Datenabfragesprache, die wohnhaft bei vielen Entwicklern wie deklarative Übrige zu REST-APIs zum Abrufen von Information an Wichtigkeit gewinnt. GraphQL wurde ursprünglich von Facebook entwickelt und im Jahr 2015 wie Open Source veröffentlicht. Es ermöglicht Kunden, genau anzugeben, welche Information sie von einer API und den zugrunde liegenden Diensten benötigen, ohne Parsing-Geheimzeichen schreiben zu sollen. GraphQL ist nachdem Typen und Feldern und nicht nachdem herkömmlichen Endpunkten organisiert.

Entwickler mögen GraphQL, weil es sehr effizient ist, Informationen auszutauschen, dagegen sein Telefonanruf- und Antwortformat bringt neue Risiken mit sich, sagt Elad Koren, Chief Product Officer von Salt Security. GraphQL-APIs können viele verschachtelte Anfragen in einem einzigen API-Prozeduraufruf enthalten, welches die Varianz erhoben.

„Welcher größte Vorteil ist die Möglichkeit, genau dies anzufordern, welches gesucht wird – nicht mehr und nicht weniger“, sagt Koren. „Nunmehr dies ist untergeordnet eine erhebliche Schwachstelle, da die Information nicht durch die Struktur restriktiv sind und gen die richtige Konstruktion welcher API angewiesen sind.“

Irgendwas, dies ein geringfügiges Berechtigungs- und Autorisierungsproblem in welcher REST-API wäre, dies gen eine Untermenge von Endpunkten intolerant ist, könnte zu einer erheblichen Angriffsfläche in GraphQL resultieren, sagt Koren.

GraphQL-Entwickler werden die Plattform von Salt Security nutzen können, um APIs zu erspähen und sensible Information offenzulegen, die Datenexponierung zu mindern, Angriffe zu stoppen und Schwachstellen zu entsorgen, so dies Unternehmen. Die Plattform analysiert die komplexe Struktur welcher GraphQL-Abrufen, um eindeutige Objektentitäten zu identifizieren, und erstellt vereinen vollständigen Inventar an GraphQL-APIs. Ebendiese Informationen werden verwendet, um zu auswerten, wie sich jeder Benutzer und jede API wohnhaft bei welcher täglichen Verwendung aller APIs verhält, um eine Grundlinie des normalen Verhaltens zu erstellen. Uff welche Weise kann die Plattform böswillige Akteure identifizieren, während sie die API untersuchen und während welcher Aufklärungsphase des Angriffs mit ihr interagieren.

Es ist erwähnenswert, dass Angriffe, die gen Zehren in GraphQL-APIs abzielen, in welcher Entwicklerwelt relativ selten sind, dagegen dies kann sich ändern, wenn die Abfragesprache immer beliebter wird. Standardformen von REST-APIs sind derzeit nur so gesehen am stärksten in Linie gebracht, weil sie so viel häufiger vorkommen, sagt Koren.

Böswillige Akteure nach sich ziehen schon damit begonnen, Angriffstechniken zu prosperieren, die gen GraphQL-Funktionen wie verschachtelte Abrufen und Nachfrage-Batching – eine Form von Brute-Force-Angriffen – abzielen, um Denial-of-Tafelgeschirr-Angriffe durchzuführen, sagt Koren. Die Angreifer können ein DoS starten, während sie verschachtelte Abrufen verwenden, die die Auslastung welcher API potenzieren.

Angreifer nach sich ziehen die komplexe Zugriffskontrollstruktur in GraphQL ausgenutzt, um kritische Schwachstellen aufzudecken und auszunutzen, sagt Koren. Es wäre untergeordnet möglich, Autorisierungsinformationen zu verwenden, um vereinen BOLA- (Broken Object Level Authorization) oder BFLA (broken Function Level Authorization) Überfall zu propagieren.

Data Theorem unterstreicht dies wachsende Erleuchtung, dass APIs geschützt werden sollen, und hat kürzlich seine Active Protection Suite gen den Markt gebracht, die die Client-Schicht (Mobile und Web), die Netzwerkschicht (REST- und GraphQL-APIs) und die zugrunde liegende Cloud-Unterbau schützt.

Eine RapidAPI-Umfrage aus dem Jahr 2020 ergab, dass GraphQL von 22,5% welcher API-Entwickler verwendet wird. Die Zahl welcher Entwickler, die GraphQL verwenden, hat sich zwischen 2019 und 2020 verdoppelt, und es wird erwartet, dass sich die Einleitung noch weiter beschleunigen wird.