GraphQL注入

文档摘要

GraphQL 注入 GraphQL 是一种用于 API 的查询语言，也是一种使用现有数据来满足这些查询的运行时。GraphQL 服务是通过定义类型及其字段，然后为每个类型的每个字段提供函数来创建的。摘要工具枚举常见的 GraphQL 端点识别注入点通过自省枚举数据库模式通过建议枚举数据库模式枚举类型定义列出到达某个类型的路径方法论提取数据使用边缘/节点提取数据使用投影提取数据突变 GraphQL 批处理攻击基于 JSON 列表的批处理基于查询名称的批处理注入 NoSQL 注入 SQL 注入实验参考文献工具 swisskyrepo/GraphQLmap - 用于渗透测试目的与 GraphQL 端点交互的脚本引擎 doyensec/graph-ql -