189 8069 5689

如何利用DVGA研究和学习GraphQL技术的安全实现

这篇文章将为大家详细讲解有关如何利用DVGA研究和学习GraphQL技术的安全实现,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

10年积累的成都网站设计、做网站经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先网站设计后付款的网站建设流程,更有博湖免费网站建设让你可以放心的选择与我们合作。

DVGA

DVGA(Damn Vulnerable GraphQL Application)是一款针对Facebook的GraphQL技术的安全学习工具,该项目中包含大量Facebook GraphQL技术的不安全实现,即故意留下了大量的漏洞,以供广大研究人员探索和学习GraphQL技术的安全性。

DVGA是GraphQL的一个不安全的实现,其中包含了大量故意遗留的漏洞,它提供了一个安全的环境来帮助广大研究人员研究和攻击GraphQL应用程序,并允许开发人员和IT专业人员测试GraphQL漏洞。

DVGA中包含了大量安全漏洞,比如说注入漏洞、代码执行漏洞、认证绕过漏洞和拒绝服务漏洞等等。

操作模式

DVGA支持新手等级和专家等级这两种以游戏形式驱动的模式,这两种模式对应的漏洞利用难度会有不同。

攻击场景

拒绝服务:批查询攻击、深度递归查询攻击、资源密集型查询攻击。

信息披露:GraphiQL接口、GraphQL字段建议、服务器端请求伪造。

代码执行:操作系统命令注入。

注入漏洞:存储型跨站脚本攻击、日志嗅探、日志注入、HTML注入。

认证绕过:GraphQL接口保护绕过、GraphQL查询拒绝列表绕过。

其他:GraphQL查询弱密码保护、任意文件写入、路径遍历。

工具要求

DVGA的正常运行需要下列Python 3代码库的支持:

Python3

Flask

Flask-SQLAlchemy

Graphene

Graphene-SQLAlchemy

工具安装

Docker

首先,使用下列命令将该项目源码克隆至本地:

git clone git@github.com:dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Application

使用下列命令构建Docker镜像:

docker build -t dvga .

接下来,通过镜像创建一个容器:

docker run -t -p 5000:5000 -e WEB_HOST=0.0.0.0 dvga

创建完成后,在浏览器中访问地址http://localhost:5000即可使用DVGA。

注意,如果你需要将应用程序绑定至一个特殊端口,比如说8080,则可以使用下列参数:

-e WEB_PORT=8080

Docker Hub

使用下列命令从Docker Hub拉取Docker镜像:

docker pull dolevf/dvga

使用镜像创建容器:

docker run -t -p 5000:5000 -e WEB_HOST=0.0.0.0 dolevf/dvga

创建完成后,在浏览器中访问地址http://localhost:5000即可使用DVGA。

服务器端

在命令行终端切换到/opt目录:

cd /opt/

使用下列命令将该项目源码克隆至本地:

git clone git@github.com:dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Application

安装依赖组件:

pip3 install -r requirements.txt

运行应用程序:

python3 app.py

运行后,在浏览器中访问地址http://localhost:5000即可使用DVGA。

工具运行截图

如何利用DVGA研究和学习GraphQL技术的安全实现

如何利用DVGA研究和学习GraphQL技术的安全实现

如何利用DVGA研究和学习GraphQL技术的安全实现

如何利用DVGA研究和学习GraphQL技术的安全实现

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

关于如何利用DVGA研究和学习GraphQL技术的安全实现就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


分享文章:如何利用DVGA研究和学习GraphQL技术的安全实现
链接URL:http://jkwzsj.com/article/pdoedi.html

其他资讯