Hello there, ('ω')ノ
GraphQL APIの脆弱性診断を行う際には、最初にその内部構造(スキーマ)を特定することが極めて重要です。スキーマ情報を取得できれば、どんなクエリが可能か、どのようなデータが取得可能か、脆弱な箇所の特定に大きく貢献します。
🕵️ Introspection(イントロスペクション)とは?
GraphQLにはイントロスペクションという便利な仕組みがあります。これを利用すると、APIの構造そのものをクエリで取得できます。例えば、使える型・フィールド・引数などが丸わかりになります。
🔓 本来は本番環境で無効にすべき
イントロスペクションは開発中は非常に便利ですが、本番環境では攻撃者にAPI内部を晒すリスクがあるため、無効にすべきです。しかし、実際には有効のまま運用されているケースが多く見られます。
🔍 簡易イントロスペクションクエリ(探査)
{ "query": "{__schema{queryType{name}}}" }
これを送信して "data": { "__schema": {...} } のような応答が得られれば、イントロスペクションが有効です。
📊 完全なイントロスペクションクエリ
以下のような複雑なクエリを使えば、スキーマのほぼすべての情報を取得できます:
query IntrospectionQuery { __schema { queryType { name } mutationType { name } subscriptionType { name } types { ...FullType } directives { name description args { ...InputValue } } } } fragment FullType on __Type { kind name description fields(includeDeprecated: true) { name description args { ...InputValue } type { ...TypeRef } isDeprecated deprecationReason } inputFields { ...InputValue } interfaces { ...TypeRef } enumValues(includeDeprecated: true) { name description isDeprecated deprecationReason } possibleTypes { ...TypeRef } } fragment InputValue on __InputValue { name description type { ...TypeRef } defaultValue } fragment TypeRef on __Type { kind name ofType { kind name ofType { kind name ofType { kind name } } } }
💡注意点
一部エンドポイントでは、以下のディレクティブを削除しないと動作しないことがあります:
onOperationonFragmentonField
🧭 Introspectionが無効な場合の対応策
✅ サジェスト機能の悪用(Apollo特有)
Apolloなどの一部GraphQL実装では、クエリが誤っていても候補を教えてくれる「サジェスト」機能があります。
例:
"Did you mean 'productInformation' instead?"
これにより、存在するフィールド名や型名が漏洩します。
このサジェストを利用してスキーマを推測するツール「Clairvoyance」も存在します。
🛠 補足ツール
- Burp Suite:GraphQLスキャナがイントロスペクションやサジェストの有効性を自動で判定
- Clairvoyance:サジェストを利用してスキーマを推測
🎯 ポイントまとめ
| 攻撃手法 | 内容 |
|---|---|
| Introspection | __schema フィールドでスキーマ構造を取得 |
| サジェスト解析 | Apollo系の「Did you mean~」メッセージでスキーマを推測 |
| エンドポイント探索 | /graphql, /api/graphql などにクエリを投げる |
イントロスペクションが有効なGraphQL APIは、スキーマが丸裸になるため、非常に危険です。これにより、IDOR、認可ミス、未公開情報漏洩といったさらなる脆弱性調査が可能になります。
Best regards, (^^ゞ
