GraphQLを用いたアプリケーションのセキュリティリスク

GraphQLを用いたWeb APIのセキュリティを確保するためには、Insecure Direct Object ReferenceといったWeb APIにおいて顕在化しやすい脆弱性だけではなく、Introspection Queryによるスキーマ情報の流出や不正に細工されたクエリによって発生するDoS(Denial of Service)など、GraphQL API固有の脆弱性が存在しないことを確認する必要があります。

これらの脆弱性に関する正確な診断を行うためには、従来のWeb API (いわゆる REST API) のそれとは大きく異なる、GraphQL固有のコンフィグレーションや実装をホワイトボックス的に精査する必要があります。そのため、本診断を行う診断員にはGraphQL APIのエコシステムとWeb APIセキュリティの双方に深い知見を有していることが求められます。