GraphQL採用サービスで任意カラムを取得できる脆弱性を見つけた話

初Zennです。 はじめてZennを使ってみました。いつもはTwitterにいるmipsparcです。鉄道と関連技術が好きで、本職ではPHPを書いています。別途ブログもあります https://mipsparc.wordpress.com/ 今年6月、TABICA(7/26に改称し、新名称「aini」、運営会社 株式会社ガイアックス)というイベント募集仲介サービスに、個人情報を自由に取得できる脆弱性を見つけて報告したところ、速やかに修正されて報奨金をいただいた話をします。 GraphQLは知ってますか? はじめに、GraphQLはご存知でしょうか。普通のHTTP API(RESTともいいますが)では、リクエストするエンドポイントが用途ごとに決まっているのが普通でしょう。たとえば /userdata にアクセスすると、JSONなどの形式でユーザーデータの決まった内容が帰ってくるものです。

[gfx]

フィールドごとに認可が必要なところ認可が実装されてなかったと。問題自体はよくあるやつで、RESTful APIでも事情は同じ。GraphQLで特に起こりやすいというわけではないと思うけどな。

[cpw]

GraphQLは思想的に好きじゃない。フロントエンドの自由度を上げるために複雑にしてるだけに見える。

[newnakashima]

GraphQLだからって話ではないような。RESTでAPI作ってるサービスでも起こり得るけどその辺はフレームワーク側で配慮してくれてることが多い（引数なしでログイン中のユーザーを取得できる関数があったりする）

[turanukimaru]

GraphQLって自由にデータを取ってこれるクエリを送るわけだから任意カラムを取ってこれるのは当然なわけで、脆弱性と言うよりは何で公開APIとして使ってしまったのかという話かな？

[hagane]

"最新の電車の制御情報伝送にはUDPが使われてるって知ってました?" 知らなかった

[masatomo-m]

サーバーサイドのModel関連と同じイメージでType定義してるとやっちゃう奴だ。GraphQLのType設計はビジネス側のデータモデル設計ではなく公開APIの仕様策定だと思ってやらないといけないんだよな。混同すると簡単に死ぬ

[programmablekinoko]

ちゃんと報奨金貰って技術公開もしてよいというのJRやるな

[kobito19]

基礎能力無い人間が流行ってるからという理由だけで技術採用した末路

[digo]

対応よい。

[t_f_m]

コメント欄 / "無造作にユーザモデルをレスポンスに渡していたという話だからRESTでも起きるというか、GraphQL固有の問題ではないような気はする"

[vvakame]

はぇー、Userのデータownerによるfield可視性制御をやってなくて事故った事例だ

[yskn-beer]

発見から報告、修正、公開まですごくいい感じの流れで教材になる。

[knjname]

認可の本当に初歩的な問題ではある / インシデントの影響範囲調査にアクセスログ(path)というヒントが得られないという意味ではGraphQL特有ではあるかも

[high-low-02-03]

こういう事故情報を共有してくれるのはありがたい。クエリ一発でDB直アクセスになってたのかな。

[diveintounlimit]

“実装の複雑性が増してしまい、特に認証が必要なWebサービスでは、返して良い情報をフィルタする必要がある。また、構造を意図的に複雑化することで、DoS攻撃を容易に引き起こせる欠点”そういうことなんだよなぁ

[surume000]

かなり初歩的なインシデントのように感じる。

[nakamura-kenichi]

共助が働いててよろしい世界。事前にチェックできてるべきやがまあ頑張れ。

[n593977]

アクセスログから判別出来ないから漏洩の事実を確認出来ない、て報告はアリなのか？ログが無いから無理ってのはわかるけど、これが通るとしらばっくれることも出来るしなんだかなという

[fn7]

カッコいいってこういうこと。

[ockeghem]

面白いし、よい話だった