Skip to main content
Voir tous les produits
Calcul
Stockage
Databases
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    51
  2. Calcul
    25
  3. Conteneurs (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Outils pour les développeurs
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    33
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    61
  13. Stockage
    24
Auteurs 56
  1. Alex Leung 4
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 13
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogCalculDéfendez votre serveur GraphQL contre la consommation excessive de ressources

Défendez votre serveur GraphQL contre la consommation excessive de ressources

Alex Leung
Alex Leung
20 août 2024
Défendre_votre_serveur_GraphQL_contre_la_consommation_excessive_de_ressources (2)

GraphQL offre la possibilité de demander exactement les ressources et les attributs dont vous avez besoin, ni plus ni moins. Contrairement à REST, qui recherche souvent trop ou pas assez de données. Cette précision rend GraphQL très efficace. En outre, GraphQL propose des méthodes standard pour gérer la pagination, ce qui accroît encore sa flexibilité. Toutefois, des utilisateurs malveillants peuvent exploiter ces fonctionnalités GraphQL, ce qui peut présenter des risques importants pour la stabilité de votre serveur.

Dans ce blog, nous allons explorer comment la flexibilité de GraphQL peut se retourner contre vous. Nous nous concentrerons plus particulièrement sur une vulnérabilité mise en évidence par le Top 10 de la sécurité des API de l'OWASP: la consommation illimitée de ressources. Nous aborderons également des mesures pratiques pour protéger vos systèmes contre ce type d'abus.

La réponse de GraphQL à l'over-fetching et à l'under-fetching

GraphQL a été conçu en partie pour résoudre les problèmes de surcharge (over-fetching) que nous rencontrons habituellement avec REST. Prenons l'exemple d'une base de données de commerce électronique standard avec des utilisateurs, des produits et des commandes. Imaginons qu'il faille récupérer le montant total d'une commande à partir de l'identifiant de la commande. Avec REST, cette requête GET vers /orders/17 récupèrerait non seulement le montant en dollars, mais aussi les éléments suivants :

  • données de commande
  • informations de facturation
  • informations sur l'expédition
  • quantités de produits
  • taxe
  • état de la commande
  • ... et plus

C'est de la surenchère.

Avec REST, vous rencontrez également des problèmes de sous-récupération, lorsque vous devez rassembler des données associées provenant de plusieurs ressources. Imaginons que vous souhaitiez afficher un résumé, avec la date et le statut d'une commande, les noms et descriptions de tous les produits de la commande, ainsi que le nom et l'adresse électronique de l'utilisateur qui a passé la commande. Pour ce faire, vous devez envoyer plusieurs requêtes :

  • GET /commandes/17
  • GET /produits/1662527
  • GET /produits/9914188
  • GET /produits/3750021
  • GET /produits/7557109
  • GET /produits/6081142
  • GET /users/3314

GraphQL a été la réponse aux lacunes de REST. Vous pouvez demander exactement ce dont vous avez besoin, à travers les ressources associées. Pour réaliser ce qui précède, votre GraphQL pourrait ressembler à ceci :

query {
  order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
}

C'est tellement simple et flexible ! Cependant, ce niveau de flexibilité signifie également qu'un utilisateur malveillant peut délibérément extraire trop de données.

Abuser de la flexibilité des requêtes

La syntaxe d'interrogation de GraphQL vous permet d'effectuer plusieurs requêtes au sein d'une même requête. Nous pourrions prendre la requête ci-dessus et faire quelque chose comme ceci :

query {
  Q1: order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
  Q2: order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
}

Cette fois, nous avons demandé les mêmes données que la requête précédente, mais nous les avons demandées deux fois. Naturellement, la réponse sera deux fois plus volumineuse que la requête unique. Mais que se passe-t-il si nous répétons la requête 100 fois en une seule fois ?

query {
  Q00: order(id: "17") {    …  }  Q01: order(id: "17") {    …  }  …  Q99: order(id: "17") {    …  }
}

C'est ainsi que nous avons créé une requête qui produirait une réponse 100 fois plus volumineuse que notre requête initiale. L'image suivante de cheeseburgers illustre bien cette attaque. Les pains à hamburger constituent la requête unique ; mais entre les pains, il peut y avoir des centaines de galettes de bœuf !

Requête farcie

Si un utilisateur malveillant devait abuser de cette souplesse d'interrogation, la consommation excessive de ressources pourrait étouffer votre serveur.

Abuser des fonctions de pagination

GraphQL propose également des méthodes standard pour gérer la pagination. Une approche courante est la pagination basée sur le décalage, dans laquelle l'appelant fournit le nombre d'éléments à récupérer (limite) et l'élément par lequel commencer (décalage).

Par exemple, une requête visant à obtenir des informations à partir d'une recherche de produit pourrait ressembler à ceci :

query {
  products(searchString: "shirt", limit: 8, offset: 0) {
    id
    name
    description
    sku
    category
    images {
      path
      alt_text
    }
    variations {
      name
      description
      cost
    }
  }
}

Et si nous ajustions les paramètres de pagination pour exécuter cette requête à la place ?

query {
  products(searchString: "shirt", limit: 800, offset: 0) {    …  }}

Dans une série d'exemples similaires que j'ai testés sur un site de commerce électronique, j'ai comparé les réponses que j'ai reçues :

$ du response*.json
680496  response_big.json
333649  response_small.json

On pourrait penser que le grand fichier est environ 100 fois plus volumineux que le petit puisque la limite a été fixée à 800 au lieu de 8. La recherche n'a probablement pas donné 800 résultats au total (peut-être seulement 16 à 20).

L'utilisation abusive de la pagination est un autre exemple de la manière dont quelqu'un peut manipuler les paramètres de requête GraphQL pour augmenter la charge de votre serveur. En exploitant cette fonctionnalité, les attaquants peuvent forcer votre serveur à traiter des requêtes beaucoup plus importantes que prévu, ce qui peut entraîner l'épuisement des ressources et un déni de service.

OWASP API4:2023 Consommation de ressources sans restriction

Ce que nous avons démontré relève du Top 10 de la sécurité des API de l'OWASP, en particulier API4:2023 Unrestricted Resource Consumption (consommation illimitée de ressources). Cette vulnérabilité survient lorsque les API ne limitent pas certains types d'interactions ou de requêtes, ce qui rend le serveur vulnérable aux attaques DoS et à d'autres perturbations opérationnelles.

Lorsqu'une API permet une interrogation ou une pagination excessive sans limites, elle peut entraîner une consommation de ressources en spirale. Cela peut à son tour entraîner une dégradation des performances, voire une panne complète du serveur. En l'absence de limites appropriées, ces attaques peuvent perturber le service. Vous risquez d'encourir des coûts opérationnels élevés, de voir vos clients se détourner de vous et de perdre des marchés.

Comment se protéger

Pour faire face à ces risques, vous devez réglementer correctement les demandes d'API. Mettez en place des contrôles qui limitent la quantité de données pouvant être demandées. Il s'agit notamment de fixer des limites à la taille et au nombre des requêtes, ainsi que de mettre en œuvre une limitation du débit et d'autres mesures de protection.

Voici quelques suggestions pratiques pour vous protéger :

  • Limitation de la taille des données demandées et renvoyées: En fixant des limites à la taille des données qui peuvent être demandées et renvoyées, vous pouvez éviter que des requêtes trop volumineuses ne submergent votre serveur.
  • Limites de pagination: Mettre en place une limite maximale pour la pagination, afin de s'assurer qu'un appelant ne tente pas de récupérer plus d'enregistrements qu'il n'est raisonnable de le faire.
  • Pare-feu d'application Web (WAF): Un WAF peut aider à détecter et à bloquer les activités malveillantes, en déjouant les attaques potentielles contre votre API GraphQL. Envisagez d'utiliser un WAF tel que Haltdos de Linode Marketplace pour ajouter cette couche de sécurité supplémentaire.
  • Outils de sécurité de l'API: Les outils capables de détecter et d'atténuer les activités malveillantes sont essentiels. Ils peuvent aider à identifier des schémas inhabituels susceptibles d'indiquer une attaque, ce qui vous permet de prendre des mesures avant qu'elle n'affecte votre système.

En prenant ces mesures, vous pouvez réduire considérablement le risque d'exploitation de votre serveur GraphQL en raison d'une consommation excessive de ressources. En veillant à ce que vos interactions avec l'API soient correctement régulées, vous contribuerez à maintenir la stabilité et les performances de votre serveur.

Pour plus d'informations sur la construction avec GraphQL, consultez GraphQL Apollo : Une introduction avec des exemples dans notre documentation.

Vous pourriez aussi aimer...

Alex Leung

Les dangers des JWT qui n'expirent jamais : vulnérabilités cachées en matière de sécurité

3 septembre 2024
par Alex Leung
Dans cet article de blog, nous nous concentrons sur les JWT qui n'expirent pas. Nous examinons comment ce problème se pose ainsi que les vulnérabilités de sécurité qui y sont associées.
Calcul
Talia Nassi

Tirer parti de l'informatique en périphérie pour des services de diffusion en direct à faible latence

29 août 2024
par Talia Nassi
Optimisez votre service de streaming en direct grâce aux solutions montées en charge d'Akamai pour gérer les pics de trafic inattendus et garantir des expériences de visionnage transparentes et à faible latence.
Calcul
Illustration d'un ordinateur portable avec un écran de chargement, une jauge colorée penchant vers la droite, un spectre rouge, et le texte "Faster Page Loads with the Speculation Rules API" (Chargement plus rapide des pages avec l'API des règles de spéculation)
Tim Vereecke

Chargement plus rapide des pages grâce à l'API des règles de spéculation

27 août 2024
par Tim Vereecke
L'API des règles de spéculation a pour but d'accélérer les navigations futures. Lisez notre point de vue sur la façon d'exploiter cette technologie.
Calcul

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.