⭕️ کاوش در GraphQL و کشف آسیبپذیری در برنامه
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
⭕️ کاوش در GraphQL و کشف آسیبپذیری در برنامه
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer