📡 GraphQL/WebSocket安全测试

03-03 | API安全测试GraphQLWebSocket实时API

📌 一句话概括

GraphQL和WebSocket作为新一代API协议，带来了传统REST API中没有的攻击面——GraphQL的灵活查询能力可被滥用于数据爬取和DoS攻击，WebSocket的长连接特性则引入了新的认证和消息校验挑战。

💡 GraphQL安全要点

① 特殊攻击面

深度递归查询：构造嵌套查询拖垮服务端
批量查询（Batching）：一次查询请求大量数据
Introspection暴露：Schema信息对外公开
认证缺失：GraphQL单端点，所有查询走同一入口，权限校验易遗漏

② WebSocket安全

初始连接缺少认证校验
消息无到期机制（stale message）
WebSocket over HTTP（非WSS）
消息注入和跨域WebSocket劫持

🔍 测试实战

1. GraphQL Depth测试

操作：构造深度嵌套查询，测试服务端是否有depth limit

工具：GraphQLCop、Burp Suite GraphQL插件

2. WebSocket劫持测试

操作：在恶意页面中尝试建立WebSocket到目标服务器

工具：Burp Suite WebSocket模块

⚠️ 常见坑点

误以为GraphQL自动过滤敏感字段——字段级权限需手动实现
WebSocket连接建立后无二次认证——首次握手后未验证身份
关闭Introspection就认为安全——只是增加攻击者难度而非真正防护

📖 延伸阅读

← ← JWT/OAuth API Fuzzing与模糊测试 → →