Pruebas de seguridad modernas para API de GraphQL

Rate this content
Bookmark

Con StackHawk, los equipos de ingeniería pueden realizar pruebas de seguridad en las API de GraphQL para encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Con pruebas automatizadas en cada PR, puedes estar seguro de que tu aplicación es segura. Únete a Scott Gerlach, cofundador y Director de Seguridad de StackHawk, para obtener una breve descripción de las pruebas de seguridad de GraphQL con StackHawk.

8 min
08 Dec, 2022

Comments

Sign in or register to post your comment.

Video Summary and Transcription

DAST ayuda a priorizar la solución de problemas de seguridad de la aplicación mediante la identificación de vulnerabilidades descubribles y explotables. StackHawk realiza pruebas de seguridad activas en las API para garantizar el manejo seguro de la entrada y salida de usuario. También implementa las mejores prácticas de API OWASP top 10. La herramienta se puede utilizar localmente y en los pipelines de CI/CD.

Available in English

1. Introducción a DAST y sus beneficios

Short description:

En StackHawk, realizamos pruebas de seguridad de aplicaciones, específicamente pruebas de seguridad de aplicaciones dinámicas (DAST). DAST ayuda a priorizar la solución de problemas de seguridad de aplicaciones mediante la identificación de vulnerabilidades descubribles y explotables. Aborda los desafíos de probar los frontends de JavaScript y los escáneres DAST heredados, que a menudo no cubren la capa de API. Al conducir directamente la API utilizando la introspección de GraphQL, se pueden obtener mejores resultados, escaneos más rápidos y precisos, y una mejor cobertura de la capa de datos.

¡Hola, GraphQL Galaxy! Soy Scott Grillock, CSO y cofundador de StackHawk. Gracias por tomarte el tiempo para conocer StackHawk y espero que estés aprendiendo muchas cosas nuevas en GraphQL Galaxy 2022. Espero poder enseñarte una más.

En StackHawk, realizamos pruebas de seguridad de aplicaciones. Específicamente, pruebas de seguridad de aplicaciones dinámicas (DAST). Hablemos de los beneficios de DAST. DAST puede ayudarte a priorizar tu tiempo en qué solucionar en problemas de seguridad de aplicaciones porque ayuda a identificar qué es descubrible y probablemente explotable, porque está probando la API de GraphQL en ejecución. Este es el superpoder de DAST, ¿en qué debería enfocar mi tiempo para solucionar problemas de seguridad de la API?

Tal vez estés pensando, pero los frameworks básicamente han evitado que ocurran los problemas comunes de seguridad de aplicaciones, y sí, muchos frameworks han hecho un buen trabajo al prevenir problemas como la inyección de SQL y el scripting entre sitios. Casi todos ellos tienen una versión insegura de todos esos mecanismos de protección para ayudarte a hacer cosas complicadas y, desafortunadamente, cometer errores, sin mencionar cosas como el filtrado de tenencia y la autorización de funciones que pueden ser difíciles de hacer correctamente. Algunas personas no conocen DAST, y aquellos que lo conocen pueden haber tenido problemas con DAST. Veamos un ejemplo.

Así que aquí estamos de vuelta en los buenos y viejos tiempos de los DAST heredados y cuando construíamos aplicaciones del lado del servidor que ejecutaban las capas de datos y presentación, todo estaba bien. El escáner DAST heredado podía escanear y probar la aplicación heredada sin muchos problemas. Obtienes buenos resultados e identificas algunos errores graves de seguridad de aplicaciones, y luego algo cambió. Luego comenzamos a construir frontends de javascript. Y el frontend de javascript realmente troleó a ese escáner DAST heredado. Cuando digo que troleó al escáner DAST heredado, me refiero a que realmente lo troleó. Como, ¿cuándo termina el desplazamiento de la página? Nunca termina. ¿Dónde están todos los formularios? Bueno, aún no se han renderizado, porque tu mouse no está en este píxel exacto. El DAST heredado seguía su feliz camino, asumiendo totalmente que estaba obteniendo toda la información que necesitaba para probar estas nuevas aplicaciones. Las fallas eran terribles, los escaneos tardaban una eternidad, falsos positivos por días, etc. Y la peor parte es que nunca se dio cuenta de que había alguien más en ese asiento trasero también. Nuestras API de respaldo están ahí, controlando todos los datos, hablando con los backends de almacenamiento de datos, ayudando a renderizar elementos en la página, y el escáner DAST heredado cree que el frontend está enviando todas estas solicitudes al backend. ¿Terminamos incluso probando la API aquí? ¿Estamos cubriendo todo? ¿Estamos siquiera haciendo solicitudes simples a la API? Bueno, debido a los frontends de JavaScript, depende en cierta medida. Depende del navegador y el emulador de navegador que esté utilizando tu herramienta DAST heredada y qué tan bien está conduciendo ese navegador. Puedes pensar en esto como scripts de Selenium, pero en lugar de un conjunto específico de funciones, lo estás ejecutando para encontrar todas las posibles rutas de entrada de usuario por sí mismo y esperando que haga un buen trabajo. Incluso Google no lo hace bien. Entonces, ¿cómo podemos volver a tener una mejor seguridad de aplicaciones, seguridad de la API? Mejores resultados, más rápidos, escaneos más precisos, mejor cobertura, especialmente en esta capa de datos donde se almacenan todos los activos que estamos protegiendo. Al conducir esta API directamente utilizando estándares de la industria como la introspección de GraphQL, puedes tener acceso directo a la API, comprender lo que hace y los datos que controla para obtener resultados rápidos, exhaustivos y precisos de pruebas de seguridad de la API. Sin mencionar que ahora puedes probar microservicios mientras los estás construyendo y encontrar estos errores de seguridad de la API de aplicaciones antes de que se envíen a producción.

2. Beneficios de StackHawk para las pruebas de seguridad de aplicaciones dinámicas

Short description:

Todavía hay cosas buenas que encontrar al probar su frontend, configuraciones de cookies, DOM XSS, muchos encabezados diferentes. ¿Cuáles son algunas de las claves a buscar en una herramienta de pruebas de seguridad de aplicaciones dinámicas que te ayudará a probar las API directamente? Aquí es donde entra StackHawk. StackHawk realiza pruebas de seguridad activas contra tu API en ejecución para garantizar que tu aplicación maneje la entrada y salida del usuario de manera segura, además de implementar las 10 mejores prácticas de seguridad de API de OWASP. Hacemos esto contra tu aplicación en ejecución en tu host local en CI/CD y contra aplicaciones que aún no se han publicado en Internet.

Todavía hay cosas buenas que encontrar al probar su frontend, configuraciones de cookies, DOM XSS, muchos encabezados diferentes. Pero comenzar donde se encuentra los datos es una mejor idea.

¿Cuáles son algunas de las claves a buscar en una herramienta de pruebas de seguridad de aplicaciones dinámicas que te ayudará a probar las API directamente? Aquí es donde entra StackHawk. StackHawk realiza pruebas de seguridad activas contra tu API en ejecución para garantizar que tu aplicación maneje la entrada y salida del usuario de manera segura, además de implementar las 10 mejores prácticas de seguridad de API de OWASP.

Lo hacemos contra tu aplicación en ejecución en tu host local en CI/CD y contra aplicaciones que aún no se han publicado en Internet. También hemos agilizado las pruebas dinámicas al colocar el escáner lo más cerca posible de la aplicación y utilizar estándares abiertos para informar al escáner, como las consultas de introspección de GraphQL. No solo hacemos que las pruebas se puedan ejecutar en cualquier lugar, también hemos habilitado el uso de datos reales en las pruebas, ya sea generados con bibliotecas de datos falsos o proporcionados directamente a través de la configuración. El uso de datos reales es importante para poder probar de manera precisa las API de GraphQL. Ejecutar pruebas personalizadas no es un problema para StackHawk. Pruebas de cosas como el control de acceso roto o el acceso directo inseguro a objetos, esos son dos de los principales problemas de seguridad de API de OWASP. Puedes escribir pruebas personalizadas con StackHawk. Nuevamente, diseñado para probar aplicaciones modernas, incluido GraphQL utilizando interfaces de GraphQL, presentando datos en un formato GraphQL, hace que las pruebas de GraphQL sean fáciles, reproduciendo escenarios de falla y solucionando problemas de seguridad de API con StackHawk es muy fácil. Nuestro enfoque como empresa es ayudar a los desarrolladores a encontrar y, lo que es más importante, solucionar problemas de seguridad. El escáner y la plataforma de StackHawk se construyeron en torno a este modelo de simplicidad. Cuando StackHawk encuentra un problema de seguridad de API en tu aplicación, la plataforma intenta brindarte la versión más simple de la información necesaria para ayudarte a comprender rápidamente qué problema es, con descripciones simples y ejemplos de patrones para ayudar a identificar el anti-patrón, pudiendo recrear problemas con herramientas simples como curl para reproducir el ataque, obtener la depuración y recorrer el código lo más rápido posible para ayudarte a solucionar problemas y volver a tu trabajo habitual de crear valor para tus clientes. Todo esto está habilitado para CI/CD. Nuevamente, puedes integrarlo en tu proceso de CI y, lo que es más importante, obtener comentarios en el proceso de CI sobre los resultados del escaneo. Esta información se puede utilizar para interrumpir una compilación si así lo deseas, según la gravedad de los problemas no clasificados. La mayoría de los principales jugadores de CI tienen sus logotipos en esta diapositiva. Siempre que puedas ejecutar Docker o un proceso Java en tu sistema de CI, puedes ejecutar StackHawk. Y aquí está quizás la parte más importante. Puedes ejecutar estas mismas pruebas de seguridad de aplicaciones localmente. Si estás desarrollando una API en tu máquina local, puedes probar problemas de seguridad de API mientras escribes código. Puedes identificar el problema, solucionarlo y validar que lo has solucionado antes de enviar tu código de vuelta al pipeline CI/CD. Espero que hayas disfrutado mi charla hoy y tal vez hayas aprendido algo nuevo sobre cómo StackHawk se puede integrar en tu proceso de desarrollo de API de GraphQL. Si quieres probar StackHawk y ver cómo se puede integrar en tu proceso de desarrollo para seguir empujando los límites en cuanto a calidad de desarrollo de software, visítanos en stackhawk.com. Gracias por ver y disfruta de GraphQL Galaxy 2022.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

GraphQL Galaxy 2021GraphQL Galaxy 2021
32 min
From GraphQL Zero to GraphQL Hero with RedwoodJS
Top Content
We all love GraphQL, but it can be daunting to get a server up and running and keep your code organized, maintainable, and testable over the long term. No more! Come watch as I go from an empty directory to a fully fledged GraphQL API in minutes flat. Plus, see how easy it is to use and create directives to clean up your code even more. You're gonna love GraphQL even more once you make things Redwood Easy!
Vue.js London Live 2021Vue.js London Live 2021
24 min
Local State and Server Cache: Finding a Balance
Top Content
How many times did you implement the same flow in your application: check, if data is already fetched from the server, if yes - render the data, if not - fetch this data and then render it? I think I've done it more than ten times myself and I've seen the question about this flow more than fifty times. Unfortunately, our go-to state management library, Vuex, doesn't provide any solution for this.For GraphQL-based application, there was an alternative to use Apollo client that provided tools for working with the cache. But what if you use REST? Luckily, now we have a Vue alternative to a react-query library that provides a nice solution for working with server cache. In this talk, I will explain the distinction between local application state and local server cache and do some live coding to show how to work with the latter.
GraphQL Galaxy 2022GraphQL Galaxy 2022
16 min
Step aside resolvers: a new approach to GraphQL execution
Though GraphQL is declarative, resolvers operate field-by-field, layer-by-layer, often resulting in unnecessary work for your business logic even when using techniques such as DataLoader. In this talk, Benjie will introduce his vision for a new general-purpose GraphQL execution strategy whose holistic approach could lead to significant efficiency and scalability gains for all GraphQL APIs.

Workshops on related topic

GraphQL Galaxy 2021GraphQL Galaxy 2021
140 min
Build with SvelteKit and GraphQL
Top Content
Featured WorkshopFree
Have you ever thought about building something that doesn't require a lot of boilerplate with a tiny bundle size? In this workshop, Scott Spence will go from hello world to covering routing and using endpoints in SvelteKit. You'll set up a backend GraphQL API then use GraphQL queries with SvelteKit to display the GraphQL API data. You'll build a fast secure project that uses SvelteKit's features, then deploy it as a fully static site. This course is for the Svelte curious who haven't had extensive experience with SvelteKit and want a deeper understanding of how to use it in practical applications.

Table of contents:
- Kick-off and Svelte introduction
- Initialise frontend project
- Tour of the SvelteKit skeleton project
- Configure backend project
- Query Data with GraphQL
- Fetching data to the frontend with GraphQL
- Styling
- Svelte directives
- Routing in SvelteKit
- Endpoints in SvelteKit
- Deploying to Netlify
- Navigation
- Mutations in GraphCMS
- Sending GraphQL Mutations via SvelteKit
- Q&A
React Advanced Conference 2022React Advanced Conference 2022
95 min
End-To-End Type Safety with React, GraphQL & Prisma
Featured WorkshopFree
In this workshop, you will get a first-hand look at what end-to-end type safety is and why it is important. To accomplish this, you’ll be building a GraphQL API using modern, relevant tools which will be consumed by a React client.
Prerequisites: - Node.js installed on your machine (12.2.X / 14.X)- It is recommended (but not required) to use VS Code for the practical tasks- An IDE installed (VSCode recommended)- (Good to have)*A basic understanding of Node.js, React, and TypeScript
GraphQL Galaxy 2022GraphQL Galaxy 2022
112 min
GraphQL for React Developers
Featured Workshop
There are many advantages to using GraphQL as a datasource for frontend development, compared to REST APIs. We developers in example need to write a lot of imperative code to retrieve data to display in our applications and handle state. With GraphQL you cannot only decrease the amount of code needed around data fetching and state-management you'll also get increased flexibility, better performance and most of all an improved developer experience. In this workshop you'll learn how GraphQL can improve your work as a frontend developer and how to handle GraphQL in your frontend React application.
React Summit 2022React Summit 2022
173 min
Build a Headless WordPress App with Next.js and WPGraphQL
Top Content
WorkshopFree
In this workshop, you’ll learn how to build a Next.js app that uses Apollo Client to fetch data from a headless WordPress backend and use it to render the pages of your app. You’ll learn when you should consider a headless WordPress architecture, how to turn a WordPress backend into a GraphQL server, how to compose queries using the GraphiQL IDE, how to colocate GraphQL fragments with your components, and more.
TestJS Summit 2023TestJS Summit 2023
48 min
API Testing with Postman Workshop
WorkshopFree
In the ever-evolving landscape of software development, ensuring the reliability and functionality of APIs has become paramount. "API Testing with Postman" is a comprehensive workshop designed to equip participants with the knowledge and skills needed to excel in API testing using Postman, a powerful tool widely adopted by professionals in the field. This workshop delves into the fundamentals of API testing, progresses to advanced testing techniques, and explores automation, performance testing, and multi-protocol support, providing attendees with a holistic understanding of API testing with Postman.
1. Welcome to Postman- Explaining the Postman User Interface (UI)2. Workspace and Collections Collaboration- Understanding Workspaces and their role in collaboration- Exploring the concept of Collections for organizing and executing API requests3. Introduction to API Testing- Covering the basics of API testing and its significance4. Variable Management- Managing environment, global, and collection variables- Utilizing scripting snippets for dynamic data5. Building Testing Workflows- Creating effective testing workflows for comprehensive testing- Utilizing the Collection Runner for test execution- Introduction to Postbot for automated testing6. Advanced Testing- Contract Testing for ensuring API contracts- Using Mock Servers for effective testing- Maximizing productivity with Collection/Workspace templates- Integration Testing and Regression Testing strategies7. Automation with Postman- Leveraging the Postman CLI for automation- Scheduled Runs for regular testing- Integrating Postman into CI/CD pipelines8. Performance Testing- Demonstrating performance testing capabilities (showing the desktop client)- Synchronizing tests with VS Code for streamlined development9. Exploring Advanced Features - Working with Multiple Protocols: GraphQL, gRPC, and more
Join us for this workshop to unlock the full potential of Postman for API testing, streamline your testing processes, and enhance the quality and reliability of your software. Whether you're a beginner or an experienced tester, this workshop will equip you with the skills needed to excel in API testing with Postman.
GraphQL Galaxy 2020GraphQL Galaxy 2020
106 min
Relational Database Modeling for GraphQL
Top Content
WorkshopFree
In this workshop we'll dig deeper into data modeling. We'll start with a discussion about various database types and how they map to GraphQL. Once that groundwork is laid out, the focus will shift to specific types of databases and how to build data models that work best for GraphQL within various scenarios.
Table of contentsPart 1 - Hour 1      a. Relational Database Data Modeling      b. Comparing Relational and NoSQL Databases      c. GraphQL with the Database in mindPart 2 - Hour 2      a. Designing Relational Data Models      b. Relationship, Building MultijoinsTables      c. GraphQL & Relational Data Modeling Query Complexities
Prerequisites      a. Data modeling tool. The trainer will be using dbdiagram      b. Postgres, albeit no need to install this locally, as I'll be using a Postgres Dicker image, from Docker Hub for all examples      c. Hasura