图南,前全栈开发工程师,擅长后端语言:Node.js、Python、C#、Java、Go;前端框架:React、Angular、Vue等。曾开发过多个公司的ToC核心项目,带领团队开发过智能手环和智能血压计的微信公众号项目,并对相关硬件做质量保障工作。在未进入安全行业前就对其很感兴趣,提交漏洞报告帮助多家公司修补漏洞。在公司内做企业安全建设和安全意识培训。
进入安全行业后主要进行安全研究和漏洞分析相关工作,并开发了WebLogic环境搭建工具和奇安信CERT情报监控工具。外发研究文章有:《WebLogic安全研究报告》《CVE-2019-2725 Weblogic多个组件反序列化远程代码执行漏洞分析》《No sql No injection?NoSQL注入你知多少?》《CVE-2019-5736 runc容器逃逸漏洞分析》以及《修不好的洞,JDK的坑——从WxJava XXE注入漏洞中发现了一个对JDK的误会》等。
地点:沙龙2
所属专题:前端测试与安全 GraphQL 作为下一代 Web API 技术,被越来越多的开发者用在生产环境中,但因为 GraphQL 和 RESTful 在开发思路上的不同,很容易让开发者忽视它的安全问题。本次演讲会对 GraphQL 进行一些简介,主要从开发的角度讲解使用 GraphQL 容易出现的安全问题。
1. GraphQL 简介
(1) 初识 GraphQL
(2) GraphQL 核心组成部分
(3) GraphQL VS. RESTful
2. GraphQL 安全问题
(1) 身份认证与权限控制不当
(2) GraphQL 身份认证无效
(3) GraphQL 身份认证无效解决方案
(4) GraphQL 身份认证无效与权限控制不当的并发症
并发症一:内省导致的信息泄露
并发症二: 非预期的字段
并发症三:“废弃”的字段
(5) GraphQL 注入解决方案
拒绝服务
拒绝服务解决方案
3. 结语
听众收益:
1. 了解前沿技术 GraphQL 优势和 RESTful API 的不同
2. 对 GraphQL 易发的安全问题有所了解并在今后开发过程中避免此类问题
3. 对漏洞产生的原理触类旁通,避免类似问题
知识储备:
1. JavaScript 基础知识
2. HTTP 相关知识
3. 对常见 Web 安全漏洞有一点了解
