Avançar para o conteúdo principal
Ver todos os produtos
Calcular
Armazenamento
Bases de dados
Trabalho em rede
Ferramentas do desenvolvedor
Entrega
Segurança
Serviços
Indústrias
Preços
Comunidade
Envolva-se Conosco
Explorar Blog
Categorias
13
  1. Visão Geral da Nuvem
    51
  2. Calcular
    25
  3. Contentores (Kubernetes, Docker)
    34
  4. Bases de dados
    21
  5. Ferramentas do desenvolvedor
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Trabalho em rede
    33
  10. Código Aberto
    6
  11. Rede Parceiro
    7
  12. Segurança
    61
  13. Armazenamento
    24
Autores 56
  1. Alex Leung 4
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 13
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogueComputaçãoDefenda seu servidor GraphQL contra o consumo excessivo de recursos

Defenda seu servidor GraphQL contra o consumo excessivo de recursos

Alex Leung
Alex Leung
20 de agosto de 2024
Defender o seu servidor_GraphQL_contra o consumo excessivo de recursos (2)

O GraphQL oferece a flexibilidade de solicitar exatamente os recursos e atributos de que você precisa - nada mais, nada menos. Isso é diferente do REST, que muitas vezes busca dados demais ou de menos. Essa precisão torna o GraphQL altamente eficiente. Além disso, o GraphQL oferece maneiras padrão de lidar com a paginação, aumentando ainda mais sua flexibilidade. No entanto, os utilizadores maliciosos podem explorar estas funcionalidades do GraphQL, o que pode representar riscos significativos para a estabilidade do seu servidor.

Neste blogue, vamos explorar como a flexibilidade do GraphQL pode ser virada contra si. Estamos nos concentrando especificamente em uma vulnerabilidade destacada pelo Top 10 de segurança de API da OWASP: consumo irrestrito de recursos. Também discutiremos etapas práticas para proteger seus sistemas contra esse tipo de abuso.

A resposta do GraphQL para over-fetching e under-fetching

O GraphQL foi projetado em parte para resolver os problemas de busca excessiva que normalmente encontramos com o REST. Por exemplo, vamos considerar um banco de dados de comércio eletrônico padrão com usuários, produtos e pedidos. Imagine a necessidade de buscar o valor total em dólares de um pedido dado no ID do pedido. Com REST, esse pedido GET para /orders/17 iria buscar não apenas o valor em dólares, mas também o seguinte:

  • dados da encomenda
  • informações de faturação
  • informações de envio
  • quantidades de produtos
  • fiscal
  • estado da encomenda
  • ... e mais

Isso é um exagero.

Com o REST, também se depara com a sub-busca, quando é necessário reunir dados associados de vários recursos. Imagine que pretende apresentar um resumo, com a data e o estado de uma encomenda, os nomes e as descrições de todos os produtos da encomenda e o nome e o e-mail do utilizador que efectuou a encomenda. Para o fazer, teria de enviar vários pedidos:

  • GET /encomendas/17
  • GET /produtos/1662527
  • GET /produtos/9914188
  • GET /produtos/3750021
  • GET /produtos/7557109
  • GET /produtos/6081142
  • GET /usuários/3314

O GraphQL foi a resposta para essas deficiências do REST. É possível consultar exatamente o que você precisa, em recursos associados. Para realizar o que foi dito acima, seu GraphQL pode ter a seguinte aparência:

query {
  order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
}

É tão simples e flexível! No entanto, este nível de flexibilidade também significa que um utilizador malicioso pode deliberadamente obter dados em excesso.

Abusar da flexibilidade das consultas

A sintaxe de consulta do GraphQL permite que você execute várias consultas na mesma solicitação. Poderíamos pegar a consulta acima e fazer algo assim:

query {
  Q1: order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
  Q2: order(id: "17") {
    date
    status
    products {
      name
      description
    }
    user {
      name
      email
    }
  }
}

Desta vez, solicitámos os mesmos dados que a consulta anterior, exceto que os solicitámos duas vezes. Naturalmente, a resposta teria o dobro do tamanho da solicitação de consulta única. No entanto, e se repetíssemos a consulta 100 vezes num único pedido?

query {
  Q00: order(id: "17") {    …  }  Q01: order(id: "17") {    …  }  …  Q99: order(id: "17") {    …  }
}

Sem mais nem menos, criámos uma consulta que produziria uma resposta 100 vezes maior do que a nossa consulta original. Uma boa maneira de ilustrar esse ataque é com a seguinte imagem de cheeseburgers. Os pães de hambúrguer formam o único pedido; mas entre os pães, pode haver centenas de hambúrgueres!

consulta recheada

Se um utilizador malicioso abusar desta flexibilidade de consulta, o consumo excessivo de recursos pode sufocar o seu servidor.

Abusar das funcionalidades de paginação

O GraphQL também tem algumas formas padrão de lidar com a paginação. Uma abordagem comum é a paginação baseada em deslocamento, na qual o chamador fornece o número de itens a serem buscados (limite) e o item com o qual começar (deslocamento).

Por exemplo, uma consulta para devolver informações de uma pesquisa de produto pode ter o seguinte aspeto:

query {
  products(searchString: "shirt", limit: 8, offset: 0) {
    id
    name
    description
    sku
    category
    images {
      path
      alt_text
    }
    variations {
      name
      description
      cost
    }
  }
}

E se ajustássemos os parâmetros de paginação para executar esta consulta?

query {
  products(searchString: "shirt", limit: 800, offset: 0) {    …  }}

Num conjunto semelhante de exemplos que testei num sítio de comércio eletrónico, comparei as respostas que recebi:

$ du response*.json
680496  response_big.json
333649  response_small.json

Poder-se-ia pensar que o ficheiro grande teria cerca de 100 vezes o tamanho do ficheiro pequeno, uma vez que o limite foi definido para 800 em vez de 8. A pesquisa provavelmente não produziu 800 resultados no total (possivelmente apenas 16 a 20).

O abuso da paginação é outro exemplo de como alguém pode manipular os parâmetros de consulta GraphQL para adicionar carga ao seu servidor. Ao explorar esta funcionalidade, os atacantes podem forçar o seu servidor a tratar pedidos muito maiores do que o pretendido, levando potencialmente ao esgotamento de recursos e à negação de serviço (DoS).

OWASP API4:2023 Consumo de recursos sem restrições

O que temos estado a demonstrar enquadra-se no Top 10 de segurança de API da OWASP, especificamente API4:2023 Unrestricted Resource Consumption. Esta vulnerabilidade ocorre quando as API não limitam determinados tipos de interações ou pedidos, deixando o servidor vulnerável a ataques DoS e outras perturbações operacionais.

Quando uma API permite uma consulta excessiva ou paginação sem limites, pode levar a um consumo de recursos em espiral. Isto, por sua vez, pode causar uma degradação do desempenho ou mesmo uma falha completa do servidor. Sem limites adequados, esses ataques podem interromper o serviço. Poderá incorrer em custos operacionais elevados, ver os clientes afastarem-se e perder negócio.

Como se proteger

Para lidar com estes riscos, é necessário regular corretamente os pedidos de API. Implemente controlos que restrinjam a quantidade de dados que podem ser solicitados. Isto inclui a definição de limites para o tamanho e o número de consultas, bem como a implementação de limitação de taxas e outras medidas de proteção.

Eis algumas sugestões práticas para se proteger:

  • Limites de tamanho de carga útil de solicitação e resposta: Ao definir limites para o tamanho dos dados que podem ser solicitados e devolvidos, pode evitar que consultas demasiado grandes sobrecarreguem o seu servidor.
  • Limites de paginação: Implementar um limite máximo para a paginação, garantindo que o chamador não tenta obter mais registos do que o razoável.
  • Firewall de aplicativo Web (WAF): Um WAF pode ajudar a detetar e bloquear atividades mal-intencionadas, frustrando possíveis ataques à sua API GraphQL. Considere usar um WAF como o Haltdos do Linode Marketplace para adicionar essa camada extra de segurança.
  • Ferramentas de segurança da API: As ferramentas que podem detetar e mitigar actividades maliciosas são essenciais. Podem ajudar a identificar padrões invulgares que podem indicar um ataque, permitindo-lhe tomar medidas antes que este afecte o seu sistema.

Ao seguir essas etapas, é possível reduzir significativamente o risco de exploração do servidor GraphQL por meio do consumo excessivo de recursos. Garantir que suas interações de API sejam reguladas adequadamente ajudará a manter a estabilidade e o desempenho do seu servidor.

Para obter mais informações sobre a criação com o GraphQL, consulte GraphQL Apollo: Uma introdução com exemplos em nossos documentos.

Você também pode gostar...

Alex Leung

Os perigos do JWT que nunca expira: Vulnerabilidades de segurança ocultas

3 de setembro de 2024
por Alex Leung
Nesta publicação do blogue, centramo-nos nos JWTs que não expiram. Analisamos a forma como este problema surge, bem como as vulnerabilidades de segurança associadas.
Calcular
Talia Nassi

Tirar partido da computação de ponta para serviços de transmissão em direto de baixa latência

29 de agosto de 2024
por Talia Nassi
Optimize o seu serviço de transmissão em direto com as soluções escaláveis da Akamai para lidar com picos de tráfego inesperados e garantir experiências de visualização contínuas e de baixa latência.
Calcular
Ilustração de um computador portátil com um ecrã de carregamento, um indicador colorido inclinado para a direita, um espetro vermelho e o texto "Carregamentos de página mais rápidos com a API Speculation Rules"
Tim Vereecke

Carregamentos de página mais rápidos com a API de regras de especulação

27 de agosto de 2024
por Tim Vereecke
A API de Regras de Especulação destina-se a aumentar a velocidade de futuras navegações. Leia as nossas ideias sobre como tirar partido desta tecnologia.
Calcular

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *