行业新闻与博客

安全研究人员发现，输入清理错误使恶意行为者可以对 GraphQL Playground IDE 进行反射的跨站点脚本（XSS）攻击。

该漏洞于本周早些时候修复，影响了所有版本的 Playground。

Playground 是基于 Web 的集成开发环境（IDE），使开发人员能够为 GraphQL 创建对象，查询和架构，GraphQL 是一种灵活的查询语言，允许 Web 应用程序与后端数据存储进行交互。

Playground 的易受攻击的组件（包括六个软件包）没有清理用户输入，从而使攻击者可以将恶意代码嵌入到请求中，例如 URL 参数，查询参数和未清理的数据库文本字符串。

该漏洞仅适用于接受用户输入的动态组件。

GraphQL Playground 的首席维护者 Rikki Schulte 告诉 The Daily Swig：“这些项目每周可获得 50 万至 750k 的下载量。”

“大多数实现都是稳定的，但事实证明，有很多具有此漏洞的面向公众的平台和实现。”

API 凭证受到威胁

在宣布对 GraphQL 游乐场 GitHub 的仓库，该项目的开发商说：“这是一个严重的漏洞可能允许数据或用户凭证的渗出，或破坏系统。

“最大的威胁可能是 API 凭据。您可以在示例中看到利用它的容易程度。” Schulte 说。

尽管没有证据表明该漏洞已在野外被利用，但 Shculte 确认：“攻击者多年来使用社会工程学来访问安全证书的可能性不大。”

开发人员应升级到本周早些时候发布的最新版本的 Playground，该版本已修复了该错误。

同时，根据经验，建议开发人员使用 XSSPurify 和 DOMPurify 之类的库来清理不受信任的用户输入，并防止在任何库中利用未知的 XSS 错误。

本文由机器译制