12、API测试
概括 GraphQL 在现代 API 中变得非常流行。它提供了简单性和嵌套对象,有利于更快的开发。虽然每种技术都有优点,但它也可能使应用程序面临新的攻击面。此场景的目的是为使用 GraphQL 的应用程序提供一些常见的错误配置和攻击向量。有些向量是 GraphQL 特有的(例如Introspection Query),有些向量是 API 通用的(例如SQL 注入)。
本节中的示例将基于易受攻击的 GraphQL 应用程序poc-graphql,该应用程序在映射为易受攻击的 GraphQL 节点的 docker 容器中运行localhost:8080/ GraphQL。
测试目标 评估是否部署了安全且可用于生产的配置。 验证所有输入字段是否受到一般攻击。 确保应用适当的访问控制。