Поиск Endpoints

Первым шагом является поиск GraphQL endpoints. Для этого можно использовать любой подходящий фаззер. Я воспользуюсь Kiterunner.

Как видно, было обнаружено два эндпоинта: /graphql и /graphiql.

Также эндпоинты можно найти в JS файлах и GitHub репозиториях

Если эндпоинты найти не удалось, это может означать, что GraphQL не используется. Однако, если GraphQL всё же применяется, но стандартные пути недоступны, endpoint можно определить, перехватив трафик в Burp Suite — иногда он может иметь нестандартное имя. Тоесть, просто найти где идет запрос к graphql. Если нашли несколько эндпоинтов - тестируем каждый отдельно.

Теперь давайте подробнее рассмотрим эндпоинт /graphql.

На данном этапе ничего необычного — перед нами стандартный GraphQL-эндпоинт, принимающий POST-запросы.

1. Тут уже можно посмотреть, может есть какие-то интересные заголовки или какие-то интересные атрибуты в куки

2. Так же смотрим, есть ли какие-то интересные параметрры по типу debug

3. В надежде на стек-трейс кидаем какой-то кривой запрос, например:

query {
dsf {
sdfsdf
}
}

4. Если в ответе видим какие-то стрек трейс ошибки, мы можем увидеть текущего пользователя/фрейморвки/фрагмент выходного кода и т.д.. Так же смотрим, может есть что в консольке интересного. Часто стек трейс могут падать именно в консоль

Теперь перейдём к определению используемых движков и технологий. Для этого воспользуемся инструментом Graphw00f.

Как видно, используется движок Graphene на Python. Инструмент также предоставил ссылку на документацию, с которой стоит ознакомиться в первую очередь — это может дать полезную и потенциально важную информацию о реализации GraphQL на целевом сервере.

Теперь давайте изучим поведение эндпоинта более подробно. Для этого отправим базовый запрос через Postman.

Как мы видим, интроспекция включена, что значительно упрощает анализ схемы GraphQL.

Для удобства взаимодействия с GraphQL также можно использовать расширение InQL для Burp Suite. Оно позволяет автоматически извлекать доступные типы, запросы и мутации, а также формировать интерактивные запросы — это может быть полезно тем, кто предпочитает работать в Burp.

Расширение InQL доступно в BApp Store

Однако для более наглядной визуализации схемы я рекомендую воспользоваться инструментом GraphQL Voyager. Он позволяет представить структуру GraphQL API в виде диаграммы, что значительно упрощает понимание связей между типами и сущностями.

Для этого необходимо выполнить интроспективный запрос, результат которого затем можно загрузить в Voyager.

После выполнения интроспективного запроса копируем полученный JSON-ответ и загружаем его в GraphQL Voyager. Это позволит визуализировать схему API, увидеть все типы, связи между ними, а также получить общее представление о структуре бэкенда.

Теперь у нас есть схема, описывающая структуру GraphQL API. Это значительно упрощает процесс тестирования, так как мы понимаем, какие запросы можно отправлять и какие данные ожидать в ответ.

Давайте теперь прогоним по сканерам уязвимостей. graphql-cop:

И через BatchQL:

Эти инструменты дают нам много информации. Как например, возможный CSRF. Если. например, graphql используеться для удаления аккаунта, и меры безопасности против csrf не соблюдаються (samesite/csrf token и т.д..), то мы можем эксплуатировать csrf

Однако всё чаще разработчики отключают функцию интроспекции, чтобы ограничить доступ к схеме API. Это усложняет задачу тестировщика, так как схема становится недоступной для анализа. Отключение интроспекции — распространённая мера безопасности, поскольку её данные могут предоставить злоумышленнику ценную информацию о структуре приложения.

Что делать в таком случае? Один из эффективных инструментов для решения этой проблемы — Clairvoyance. Он позволяет восстановить схему GraphQL API даже при отключённой интроспекции, анализируя ответы сервера на специально сформированные запросы.

Подробное описание работы Clairvoyance выходит за рамки этой статьи. Если вы хотите глубже разобраться в принципах его работы, рекомендуем ознакомиться с видео по теме: ссылка на YouTube.

Для примера я протестировал инструмент Clairvoyance на случайном сайте, использующем GraphQL-движок Apollo. Как и ожидалось, интроспекция на этом сайте была отключена — стандартная практика для повышения безопасности. В результате работы Clairvoyance мне удалось восстановить схему API, которую я затем визуализировал для удобства анализа.

Хотя восстановленная схема не является полной заменой данных, полученных через интроспекцию, она предоставляет достаточно информации для дальнейшего тестирования. Для достижения более точных результатов рекомендую использовать обширные словари запросов, специально предназначенные для GraphQL. Такие словари можно найти, например, здесь: GraphQL Wordlist.

Кроме того, для более эффективной отладки и анализа советую проксировать запросы через Burp Suite. Это позволяет отслеживать взаимодействие с сервером в реальном времени, включая ответы и возможные ошибки. Например, если сервер или WAF блокирует запросы, вы сразу заметите это в Burp Suite и сможете уже решить, что делать дальше

Теперь давайте рассмотрим интересный эндпоинт graphiql

GraphQL часто предоставляют встроенную среду разработки (IDE) прямо на веб-приложении. Это графический интерфейс, с помощью которого можно отправлять запросы к API. Наиболее распространённые GraphQL IDE — это GraphiQL, GraphQL Playground и Altair Client. Эти интерфейсы обычно включают:

• окно для написания запросов;
• окно для отправки запросов;
• окно для просмотра ответов;
• раздел с документацией GraphQL. (она базируеться на интроспекции)

Такие IDE могут быть защищены авторизацией. Пробуем её обойти, это может дать очень интересные результаты.

В целом, про графический интерфейс что-то ещё нельзя сказать. Графические интерфесы это не что-то очень особенное, что может дать хакеру какую-то супер ценную информацию

Ищем graphql на субдоменах

Часто на субдоменах по типу

• staging.site.com
• dev.site.com
• test.api.site.com

Есть graphql ендпоинты, но с включенной интроспекцией, и возможно, каким-то дополнительным функционалом. Для хакера такое может быть на вес золота. Это может раскрыть кучу потенциальных уязвимостей или каких то важной технической информации

Эксплуатация метаполя __type

Даже, если интроспекция выключена, это ведь не значит,что она на 100 процентов заблокирована

Большинство систем блокирует интроспекционные запросы, содержащие слово __schema. Но если этого слова нету, запросы пропускаються фаерволом

В 2022 иследователи обнаружили, что Amazon AppSync блокирует все запросы по методике, какая описанна выше. После репорта, команда Amazon тут же фиксанула дыру и обновила документации

Чтобы проверить такой метод обхода, кидаем canary запрос

{
__type(name:"Query") {
name
}
}
Если ответ не ошибка - интроспекция по сути не заблокирована. Но с ее получением все-равно возникнут трудности

НАШИ ПРОЕКТЫ

Канал - ИСПОВЕДЬ ПЕНТЕСТЕРА

Наш Чат - t.me/+YgxPPcFtalUyZDYy

В этой статье рассмотрим, как использовать веб-краулер Katana. Мы подробно разберем практически весь его функционал.

Katana — это мощный фреймворк для веб-краулинга и спайдеринга, разработанный командой ProjectDiscovery. Он незаменим на всех этапах тестирования на проникновение, обеспечивая гибкость и эффективность

Ввод ссылки

Katana позволяет указать цели для сканирования несколькими способами:

1. Через -u:

Мы можем дать как одну ссылку, например:

katana -u github.com

Для нескольких ссылок (разделяются запятыми):

katana -u github.com,google.com

Тогда инструмент будет кравлить их параллельно, а не в порядке очереди

2. Через -list

katana -list list.txt

В list.txt кидаем все ссылки. Например:

google.com

github.com

evil.com

....

3. Через STDIN (удобно для автоматизации и one-liner'ов):

echo https://tesla.com | katana

cat domains | httpx | katana

Crawling Modes

Katana поддерживает два режима сканирования:

1. Стандартный

Это тот режим, какой мы разобрали выше (он используеться по умолчанию). Использует стандартную http библиотеку go. Из плюсов данного режима можно выделить только скорость.

Недостаток заключается в том, что HTTP-библиотека Go обрабатывает ответ в том виде, в каком он получен, без выполнения JavaScript и манипуляций с DOM . Это может привести к пропущенным конечным точкам, которые появляются только после рендеринга или в результате асинхронных вызовов.

Проще говоря, если вы хотите испоьзовать потэнциал этого инструмента на максимум, то стандартный режим не подойдет. Стандартный режим подходит для быстрого сканирования, но не раскрывает полный потенциал инструмента. Если требуется глубокий анализ, лучше выбрать другой режим.

2. Headless браузер

В этом режиме Katana как бы запускает браузер «внутри себя», без отображения окна. Это нужно для того, чтобы:

1. Притвориться настоящим браузером — так сайты воспринимают сканер как обычного пользователя и дают больше данных.
2. Получить больше информации — Katana может «увидеть» то, что появляется на сайте только после загрузки JavaScript или взаимодействия со страницей.

Если ты сканируешь современный сайт, где контент загружается динамически (например, после клика по кнопке или прокрутки), включи этот режим с помощью команды -headless.
Он работает медленнее, чем обычный режим, но зато находит больше.

При запуске от имени супер-пользователя, запускайте через --no-sandbox

Область сканирования

Одна из ключевых задач при сборе ссылок с помощью Katana — фильтрация ненужных данных. Инструмент может собирать ссылки, связанные, например, с Google Analytics или другими сторонними сервисами. Это замедляет процесс сканирования и засоряет результаты лишней информацией. Katana предлагает четыре метода для фильтрации по scope'у:

1. Field-scope — "Что разрешено"

Ты заранее указываешь: какие сайты, домены или ссылки можно обрабатывать. Всё остальное игнорируется.

Пример: сканировать только example.com, игнорируя всё остальное.

2. Crawl-scope — "Где ходить"

Определяешь, по каким ссылкам можно переходить во время сканирования.

Пример: переходить только по внутренним ссылкам, не выходя на другие сайты.

3. Crawl-out-scope — "Смотреть, но не трогать"

Katana замечает внешние ссылки, но не переходит по ним. Это помогает видеть, куда ведёт сайт, но не тратить время на лишнее.

4. No-scope — "Без ограничений"

Katana сканирует всё подряд — любые ссылки, сайты и ресурсы.

Используй осторожно: можно случайно обойти полинтернета :)

Field-scope

Для этого режима есть 3 опции:

1. rdn (по умолчанию)

Сканирование по основному домену и всем его поддоменам.

Пример: example.com, www.example.com, api.example.com — все войдут в сканирование.

2. fqdn

Сканирование только по конкретному (под)домену, который ты указал.

Пример: если ты указал www.example.com, то api.example.com — уже не будет сканироваться.

3. dn

Сканирование по ключевому слову домена.

Пример: если указано example, то попадут в сканирование example.com, example.net, example.org и т.п.

Crawl-scope

Флаг -cs (crawl-scope) работает как фильтр по регулярному выражению (regex)

Это значит, что Katana будет возвращать только те URL, которые соответствуют заданному шаблону.

Например, если ты сканируешь сайт tesla.com и используешь:

-cs "shop"

То в результатах ты увидишь только те ссылки, в которых есть слово shop, например:

https://shop.tesla.com/

https://www.tesla.com/shop/accessories

А все остальные ссылки, вроде https://www.tesla.com/models или https://www.tesla.com/about, — будут отброшены, потому что они не совпадают с фильтром.

Crawl-out-scope

Crawl-out-scope (-cos) — фильтр на исключение URL

Флаг -cos работает как фильтр на исключение: он удаляет из результатов все ссылки, которые соответствуют заданному шаблону (регулярному выражению).

Например, если ты используешь:

cos "shop"

Katana исключит из вывода все ссылки, в которых есть слово shop, например:

• https://shop.tesla.com/
• https://www.tesla.com/shop/accessories

Они просто не попадут в результаты. Прще говоря, этот филтр работает как crawl-scope но наоборот

No-scope

No-scope (-ns) — без ограничений

Если ты укажешь флаг -ns, Katana полностью отключит ограничения по области сканирования.

Это значит, что:

• Сканирование начнётся с указанного сайта (например, https://tesla.com)
• Но дальше Katana будет переходить по всем ссылкам, которые найдёт — даже если они ведут на другие сайты и домены.

📌 Пример:

katana -u https://tesla.com -ns

В этом случае Katana может перейти на:

• https://twitter.com/Tesla
• https://shop.tesla.cn/
• https://some-other-website.com

То есть ты как бы "открываешь ворота" для обхода всего интернета, начиная с одного сайта.

⚠️ Важно: такой режим может привести к слишком большому объёму данных, поэтому использовать его нужно с осторожностью. Не используем его, если нету необходимости

Глубина сканирования

С помощью флага -depth ты можешь указать, на какую глубину Katana должна следовать по ссылкам при сканировании.

• Чем меньше значение, тем быстрее сканирование, но меньше найденных ссылок.
• Чем больше значение, тем глубже Katana будет заходить, найдёт больше endpoint’ов — но и займёт больше времени.

По дефолту стоит значение 3. Максимальное значение - 5.

Автоматическое заполнение форм

-automatic-form-fill (-aff) — автоматическое заполнение форм

Эта опция включает автоматическое заполнение веб-форм во время сканирования.

• Katana пытается автоматически заполнять формы на сайте — например, поля логина, поиска, подписки и т.д.
• Она умеет распознавать известные поля (например, email, name, password) и может заполнять даже неизвестные поля по умолчанию.
• Значения для заполнения можно настроить вручную в файле конфигурации:

$HOME/.config/katana/form-config.yaml

Я б советовал изменить в значении email домен на какой нибудь gmail.com. Так как иногда сайты не пропускают дальше, если email - незнакомый домен. Таким образом сайты защищаються от временных пост, спама и так далее...

Дополнительный парсинг

-known-files — сканирование robots.txt и sitemap.xml

Эта опция включает сканирование известных файлов, таких как:

• robots.txt — файл, в котором сайты указывают, что можно и нельзя сканировать
• sitemap.xml — карта сайта, где перечислены все важные страницы

📌 По умолчанию эта опция отключена, так что её нужно включать вручную.

✅ Пример:

katana -u https://tesla.com -kf robotstxt,sitemapxml

Работаем с js файлами

-jc / -js-crawl — включить обход и парсинг JS-файлов

Эта опция включает поиск ссылок внутри JavaScript-файлов.

Полезно для нахождения "спрятанных" endpoint’ов, которые подгружаются через JS, например: api.example.com/data внутри main.js.

-jsl / -jsluice — углублённый парсинг JS-файлов (ресурсоёмкий)

Эта опция включает дополнительный парсинг с помощью инструмента jsluice, что позволяет находить ещё больше скрытых ссылок и паттернов в JS.

⚠️ Затратно по памяти — лучше использовать на мощной машине или для отдельных целей.

Кастомные regex скрипты

Katana поддерживает мощную фильтрацию и обработку URL через регулярные выражения, что позволяет гибко управлять областью сканирования и результатами.

Ниже приведен пример, как Katana извлекает email-адреса с помощью пользовательского регулярного выражения (regex). Нашёл я его на гитхабе:

Мнение ИИ об оптимальном использовании Katana

В завершение я обратился к ИИ, чтобы выяснить, как, по его мнению, лучше всего использовать Katana для достижения максимальной эффективности:

Для повышения эффективности сканирования добавлю от себя следуйщее:

• Добавлять Cookie: Используйте флаг -H "Cookie: <value>", чтобы эмулировать авторизованного пользователя и получить доступ к скрытым данным.
• Менять User-Agent: Применяйте разные User-Agent’ы с помощью флага -H "User-Agent: <value>" или опции -rua для случайного выбора, чтобы обойти ограничения сайтов.
• Настраивать заголовки: Добавляйте кастомные заголовки через -H для специфичных сценариев, например, для тестирования API или обхода защиты.

Эти настройки помогут адаптировать Katana под конкретные задачи и увеличить объем собираемой информации.

Заключение

Мы рассмотрели ключевые функции Katana — мощного инструмента для веб-краулинга. Его возможности далеко не ограничиваются описанным: Katana предлагает множество дополнительных опций, таких как настройка заголовков, использование cookie, проксирование запросов и другие технические параметры. Подробности этих функций вы можете изучить в официальной документации Katana. Не недооценивайте этот инструмент — он способен значительно ускорить и углубить процесс анализа веб-ресурсов.

НАШИ ПРОЕКТЫ

Канал - ИСПОВЕДЬ ПЕНТЕСТЕРА

Наш Чат - t.me/+YgxPPcFtalUyZDYy