在 GMTC 深圳 2019 大会上，图南讲师做了《GraphQL 与 GraphQL 安全》主题演讲，主要内容如下。

演讲简介：

GraphQL 作为下一代 Web API 技术，被越来越多的开发者用在生产环境中，但因为 GraphQL 和 RESTful 在开发思路上的不同，很容易让开发者忽视它的安全问题。本次演讲会对 GraphQL 进行一些简介，主要从开发的角度讲解使用 GraphQL 容易出现的安全问题。

GraphQL 简介

(1) 初识 GraphQL

(2) GraphQL 核心组成部分

(3) GraphQL VS. RESTful
GraphQL 安全问题

(1) 身份认证与权限控制不当

(2) GraphQL 身份认证无效

(3) GraphQL 身份认证无效解决方案

(4) GraphQL 身份认证无效与权限控制不当的并发症

并发症一：内省导致的信息泄露

并发症二：非预期的字段

并发症三：“废弃”的字段

(5) GraphQL 注入解决方案

拒绝服务

拒绝服务解决方案
结语

听众受益点：

了解前沿技术 GraphQL 优势和 RESTful API 的不同
对 GraphQL 易发的安全问题有所了解并在今后开发过程中避免此类问题
对漏洞产生的原理触类旁通，避免类似问题

知识储备：

JavaScript 基础知识
HTTP 相关知识
对常见 Web 安全漏洞有一点了解

讲师介绍：

图南，奇安信安全研究员。

图南，前全栈开发工程师，擅长后端语言：Node.js、Python、C#、Java、Go；前端框架：React、Angular、Vue等。曾开发过多个公司的ToC核心项目，带领团队开发过智能手环和智能血压计的微信公众号项目，并对相关硬件做质量保障工作。在未进入安全行业前就对其很感兴趣，提交漏洞报告帮助多家公司修补漏洞。在公司内做企业安全建设和安全意识培训。

进入安全行业后主要进行安全研究和漏洞分析相关工作，并开发了WebLogic环境搭建工具和奇安信CERT情报监控工具。外发研究文章有：《WebLogic安全研究报告》《CVE-2019-2725 Weblogic多个组件反序列化远程代码执行漏洞分析》《No sql No injection？NoSQL注入你知多少？》《CVE-2019-5736 runc容器逃逸漏洞分析》以及《修不好的洞，JDK的坑——从WxJava XXE注入漏洞中发现了一个对JDK的误会》等。

完整演讲 PPT 下载链接：

https://gmtc.infoq.cn/2019/shenzhen/schedule

创作场景

GraphQL 与 GraphQL 安全