Graph + AI 中国峰会火热报名中,点击探索图分析更多可能! 了解详情
写点什么

GraphQL 与 GraphQL 安全

2020 年 2 月 12 日

GMTC

GraphQL 与 GraphQL 安全

GMTC 深圳 2019 大会上,图南讲师做了《GraphQL 与 GraphQL 安全》主题演讲,主要内容如下。


演讲简介


GraphQL 作为下一代 Web API 技术,被越来越多的开发者用在生产环境中,但因为 GraphQL 和 RESTful 在开发思路上的不同,很容易让开发者忽视它的安全问题。本次演讲会对 GraphQL 进行一些简介,主要从开发的角度讲解使用 GraphQL 容易出现的安全问题。


  1. GraphQL 简介

  2. (1) 初识 GraphQL

  3. (2) GraphQL 核心组成部分

  4. (3) GraphQL VS. RESTful

  5. GraphQL 安全问题

  6. (1) 身份认证与权限控制不当

  7. (2) GraphQL 身份认证无效

  8. (3) GraphQL 身份认证无效解决方案

  9. (4) GraphQL 身份认证无效与权限控制不当的并发症

  10. 并发症一:内省导致的信息泄露

  11. 并发症二: 非预期的字段

  12. 并发症三:“废弃”的字段

  13. (5) GraphQL 注入解决方案

  14. 拒绝服务

  15. 拒绝服务解决方案

  16. 结语


听众受益点


  1. 了解前沿技术 GraphQL 优势和 RESTful API 的不同

  2. 对 GraphQL 易发的安全问题有所了解并在今后开发过程中避免此类问题

  3. 对漏洞产生的原理触类旁通,避免类似问题


知识储备


  1. JavaScript 基础知识

  2. HTTP 相关知识

  3. 对常见 Web 安全漏洞有一点了解


讲师介绍


图南,奇安信安全研究员。


图南,前全栈开发工程师,擅长后端语言:Node.js、Python、C#、Java、Go;前端框架:React、Angular、Vue 等。曾开发过多个公司的 ToC 核心项目,带领团队开发过智能手环和智能血压计的微信公众号项目,并对相关硬件做质量保障工作。在未进入安全行业前就对其很感兴趣,提交漏洞报告帮助多家公司修补漏洞。在公司内做企业安全建设和安全意识培训。


进入安全行业后主要进行安全研究和漏洞分析相关工作,并开发了 WebLogic 环境搭建工具和奇安信 CERT 情报监控工具。外发研究文章有:《WebLogic 安全研究报告》《CVE-2019-2725 Weblogic 多个组件反序列化远程代码执行漏洞分析》《No sql No injection?NoSQL 注入你知多少?》《CVE-2019-5736 runc 容器逃逸漏洞分析》以及《修不好的洞,JDK 的坑——从 WxJava XXE 注入漏洞中发现了一个对 JDK 的误会》等。












完整演讲 PPT 下载链接


https://gmtc.infoq.cn/2019/shenzhen/schedule


2020 年 2 月 12 日 17:23832
GMTC

评论

发布
暂无评论
发现更多内容

【Vue2.x 源码学习】第三十六篇 - 组件部分 - Vue.extend 实现

Brave

源码 vue2 8月日更

在所有Spark模块中,我愿称SparkSQL为最强!

王知无

浏览器数据库 IndexedDB(一) 概述

编程三昧

数据库 前端 indexedDB 8月日更

秒杀架构设计

鲲哥

Flink CDC我吃定了耶稣也留不住他!| Flink CDC线上问题小盘点

王知无

架构设计总结

鲲哥

Github首次开放,一天遭狂转 50w 次!大厂内部不外传的 100 万字 Java 面试手册!

编程菌

Java 编程 程序员 面试 计算机

JavaScript new 关键词解析及原生实现 new

zhoulujun

JavaScript new

序列化单例模式的实现————readResolve 源码解读

4ye

Java 源码 后端 序列化 8月日更

雷从九天临,暗由赤地生 - 你的对手只有时间

王知无

设计千万级学生管理系统的考试试卷存储方案

架构0期-Bingo

Android SDK 版本属性

Changing Lin

8月日更

一团乱麻的生活

m小幼

架构训练营毕业总结

Geek_e0c25c

架构实战营

让我们一起开发【菜谱系统】吧,滚雪球学 Python 第三轮项目计划

梦想橡皮擦

8月日更

阿里“宝妈级”之作,这份Spring Security应用到源码手册,全是精华

云流

Java spring 程序员 架构 计算机

193篇文章暴揍Flink,这个合集你需要关注一下

王知无

JDK的泛型如何工作的

卢卡多多

Java泛型 8月日更

MinIO存储服务客户端使用指南(三)

liuzhen007

8月日更

老外为了在MacBook上玩原神,让M1支持了所有iOS应用 | Github每周精彩分享第一期

Zhendong

GitHub

5000字阐述云原生消息中间件Apache Pulsar的核心特性和设计概览

王知无

网络攻防学习笔记 Day106

穿过生命散发芬芳

网络安全 8月日更

抵制不良饭圈文化,互联网平台应该肩负哪些责任

石头IT视角

从0开始的TypeScriptの八:类

空城机

JavaScript typescript 前端 8月日更

总结

杰语

一个故事看懂HTTPS

Java技术那些事

Java 编程 程序员 计算机 8月日更

架构实战营 模块三

听闻

架构实战训练营模块五作业

NewBranSTONE

#架构实战营

架构实战0期毕业设计---电商秒杀系统

谢博琛

【LeetCode】 礼物的最大价值Java题解

HQ数字卡

算法 LeetCode 8月日更

蚂蚁金服+拼多多+抖音+天猫Java面经合集,金九银十Java开发校招社招福音!

编程菌

Java 编程 程序员 面试 计算机

GraphQL 与 GraphQL 安全-InfoQ