{"id":5759,"date":"2023-01-26T10:27:09","date_gmt":"2023-01-26T09:27:09","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=5759"},"modified":"2023-08-11T12:20:08","modified_gmt":"2023-08-11T10:20:08","slug":"exploitation-dun-manque-de-controle-de-droits-sur-graphql","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/exploitation-dun-manque-de-controle-de-droits-sur-graphql\/","title":{"rendered":"Exploitation d’un manque de contr\u00f4le de droits sur GraphQL"},"content":{"rendered":"\n

Lors d’un pentest d’application web<\/a>, nous avons d\u00e9couvert une vuln\u00e9rabilit\u00e9 li\u00e9e \u00e0 la configuration et \u00e0 la mauvaise gestion des contr\u00f4les de droits sur GraphQL. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n\n\n\n\n

En profitant \u00e9galement d’une IDOR, cette vuln\u00e9rabilit\u00e9 critique nous a permis de sortir du cloisonnement et d\u2019acc\u00e9der \u00e0 des donn\u00e9es appartenant \u00e0 d\u2019autres instances. Nous vous expliquons comment en pr\u00e9sentant, dans un premier temps, les diff\u00e9rentes \u00e9tapes pour exploiter GraphQL avant d’exposer le cas concret rencontr\u00e9 lors du pentest. <\/p>\n\n\n\n

Comment exploiter GraphQL ? <\/h2>\n\n\n\n

Commen\u00e7ons par une d\u00e9monstration d’exploitation de GraphQL effectu\u00e9e sur une application de test accessible sur Github<\/a> contenant des vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

R\u00e9cup\u00e9ration du sch\u00e9ma d’introspection GraphQL<\/h3>\n\n\n\n

La premi\u00e8re \u00e9tape consiste \u00e0 r\u00e9cup\u00e9rer le sch\u00e9ma d’introspection GraphQL. Ce sch\u00e9ma permet d\u2019obtenir des informations importantes sur la structure de GraphQL, notamment les relations entre les diff\u00e9rents objets et le nom des diff\u00e9rents champs. <\/p>\n\n\n\n

Pour ce faire, plusieurs m\u00e9thodes peuvent \u00eatre utilis\u00e9es pour r\u00e9cup\u00e9rer ce sch\u00e9ma comme l’extension InQL de Burp<\/a> ou, manuellement via le recours \u00e0 la requ\u00eate GraphQL suivante si l\u2019introspection est bien activ\u00e9e.<\/p>\n\n\n\n

{__schema{queryType{name}mutationType{name}subscriptionType{name}types{\u2026FullType}directives{name description locations args{\u2026InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated :true){name description args{\u2026InputValue}type{\u2026TypeRef}isDeprecated deprecationReason}inputFields{\u2026InputValue}interfaces{\u2026TypeRef}enumValues(includeDeprecated :true){name description isDeprecated deprecationReason}possibleTypes{\u2026TypeRef}}fragment InputValue on __InputValue{name description type{\u2026TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}<\/code><\/pre>\n\n\n\n
\"R\u00e9cup\u00e9ration<\/figure>\n\n\n\n
Par ailleurs, le sch\u00e9ma peut \u00eatre import\u00e9 sur GraphQL Voyager<\/a>, un outil permettant d\u2019obtenir un graphique interactif du sch\u00e9ma GraphQL.<\/p>\n\n\n\n
\"Import<\/figure>\n\n\n\n
Gr\u00e2ce \u00e0 cet outil, les relations entre les diff\u00e9rents objets apparaissent plus clairement et l\u2019exploitation va \u00eatre beaucoup plus simple \u00e0 effectuer.<\/p>\n\n\n\n
\"Visualisation<\/figure>\n\n\n\n
Exploitation des vuln\u00e9rabilit\u00e9s GraphQL<\/h3>\n\n\n\n
L\u2019objectif va \u00eatre d\u2019utiliser toutes les relations afin d\u2019acc\u00e9der aux diff\u00e9rents objets contenant les informations de l\u2019application. Par exemple, acc\u00e9der aux informations des utilisateurs \u00e0 partir de la requ\u00eate qui r\u00e9cup\u00e8re les notes priv\u00e9es.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Si on clique sur le bouton Private Pastes<\/code> et qu\u2019on intercepte la requ\u00eate avec l\u2019outil Burp Suite<\/a>, on remarque que la requ\u00eate suivante est transmise au serveur :<\/p>\n\n\n\n
query getPastes {\n        pastes(public:false) {\n          id\n          title\n          content\n          ipAddr\n          userAgent\n          owner {\n            name\n          }\n          }\n        }\n<\/code><\/pre>\n\n\n\n
En comparant cette requ\u00eate avec le graphique interactif de GraphQL Voyager, on peut d\u00e9terminer le chemin parcouru passant par les diff\u00e9rentes relations du sch\u00e9ma.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
L\u2019attribut __typename<\/code> <\/strong>peut \u00eatre ajout\u00e9 \u00e0 la requ\u00eate afin que le serveur retourne le nom de l\u2019objet pr\u00e9sent.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
En comprenant cette logique, il est possible de r\u00e9cup\u00e9rer les informations de l\u2019objet users<\/code>, en passant par la relation users<\/code>.<\/p>\n\n\n\n
query getPastes {\n\t__typename\n  \tusers {\n\t\tusername\n\t\tpassword\n\t\t__typename\n  }\n}\n<\/code><\/pre>\n\n\n\n
Ainsi, le serveur renvoie les informations confidentielles des diff\u00e9rents utilisateurs enregistr\u00e9s sur la plateforme.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Bien entendu, on pourrait aussi passer par le lien search<\/code> puis UserObject<\/code>, pour atteindre les informations des utilisateurs :<\/p>\n\n\n\n
query getPastes {\n\t__typename\n  \tsearch {\n\t\t\t... on UserObject {\n\t\t\t\tusername\n\t\t\t\tpassword\n\t\t\t\t__typename\n\t\t\t}\n\t\t\t__typename\n  }\n}\n<\/code><\/pre>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Enfin, de la m\u00eame fa\u00e7on, la requ\u00eate suivante permet de r\u00e9cup\u00e9rer les donn\u00e9es de GraphQL :<\/p>\n\n\n\n
query getPastes {\n\tpastes {\n\t\tid\n\t\ttitle\n\t\tcontent\n\t\tpublic\n\t\tuserAgent\n\t\tipAddr\n\t\townerId\n\t\tburn\n\t\towner {\n\t\t\tid\n\t\t\tname\n\t\t\t__typename\n\t\t}\n\t\t__typename\n\t}\n\tsearch {\n\t\t... on UserObject {\n\t\t\tid\n\t\t\tusername\n\t\t\tpassword\n\t\t\t__typename\n\t\t}\n\t\t__typename\n\t}\n\taudits {\n\t\tid\n\t\tgqloperation\n\t\tgqlquery\n\t\ttimestamp\n\t\t__typename\n\t}\n\t__typename\n}\n<\/code><\/pre>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Cas concret d’une exploitation multi-tenant de GraphQL via une IDOR <\/h2>\n\n\n\n
Contexte<\/h3>\n\n\n\n
Lors d’un pentest, nous avons \u00e9t\u00e9 amen\u00e9s \u00e0 tester une application SaaS \u00e0 architecture multi-tenant, disposant naturellement d’un cloisonnement des donn\u00e9es entre diff\u00e9rentes entreprises. Et bien \u00e9videmment, chacune de ces entreprises disposait de ses propres utilisateurs, r\u00f4les et informations confidentielles. <\/p>\n\n\n\n
De fait, notre objectif \u00e9tait de v\u00e9rifier le bon cloisonnement des donn\u00e9es entre les diff\u00e9rentes entreprises, autrement dit essayer de r\u00e9cup\u00e9rer des informations auxquelles nous ne sommes pas du tout cens\u00e9s avoir acc\u00e8s. Par cons\u00e9quent, il s’agissait ici d’un test d’intrusion en boite grise<\/a>, avec un compte utilisateur \u00ab\u00a0standard\u00a0\u00bb d’une entreprise \u00e0 notre disposition. <\/p>\n\n\n\n
Pour r\u00e9sumer, nous devions d’abord d\u00e9tecter un lien entre notre entreprise et une autre sur la plateforme et trouver des moyens de contourner le cloisonnement en place.<\/p>\n\n\n\n
D\u00e9couverte d’une vuln\u00e9rabilit\u00e9 IDOR<\/h3>\n\n\n\n
En d\u00e9roulant m\u00e9thodiquement nos tests, nous avons identifi\u00e9 une vuln\u00e9rabilit\u00e9 IDOR sur une fonctionnalit\u00e9 de l’application. Cette fonctionnalit\u00e9 permettait d’assigner des r\u00f4les sp\u00e9cifiques \u00e0 des projets.<\/p>\n\n\n\n
Une IDOR (Insecure Direct Object Reference)<\/strong> est une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 qui se produit lorsqu’une application web ne contr\u00f4le pas correctement les acc\u00e8s aux objets auxquels un utilisateur peut acc\u00e9der. Cela signifie qu\u2019un utilisateur peut lire, modifier ou supprimer un objet qui ne lui appartient pas, comme des informations sensibles ou des fonctionnalit\u00e9s.<\/p>\n\n\n\n
Ainsi, nous avons d\u00e9couvert qu’un utilisateur de notre entreprise \u00e9tait en mesure d’assigner un r\u00f4le d’une autre entreprise \u00e0 un de nos projets, en raison d’un manque de contr\u00f4le des droits sur la modification des param\u00e8tres d’un projet. Cela a cr\u00e9\u00e9 un lien entre un projet appartenant \u00e0 notre entreprise et un r\u00f4le appartenant \u00e0 une autre entreprise.<\/p>\n\n\n\n
Exploitation manque de contr\u00f4le de droits<\/h3>\n\n\n\n
Pour exploiter le manque de contr\u00f4le des droits dans GraphQL en combinant avec la vuln\u00e9rabilit\u00e9 IDOR, nous pouvons utiliser GraphQL pour r\u00e9cup\u00e9rer des informations li\u00e9es \u00e0 nos projets, notamment les r\u00f4les qui y sont assign\u00e9s. Ensuite, nous pouvons utiliser ce r\u00f4le pour pivoter vers des informations sensibles appartenant \u00e0 une autre entreprise, en utilisant les faiblesses de contr\u00f4le des acc\u00e8s.<\/p>\n\n\n\n
Entreprise_Vaadata -> Liste les r\u00f4les des projets -> Pivot sur le r\u00f4le de l\u2019Entreprise B -> Liste les utilisateurs de l'entreprise B -> R\u00e9cup\u00e8re les donn\u00e9es appartenant aux utilisateurs<\/code><\/pre>\n\n\n\n
Comment s\u00e9curiser GraphQL ? <\/h2>\n\n\n\n
Pour corriger les probl\u00e8mes de contr\u00f4le des droits sur GraphQL, il est important de mettre en place des m\u00e9canismes de s\u00e9curit\u00e9 pour s’assurer que seuls les utilisateurs autoris\u00e9s ont acc\u00e8s aux informations et aux fonctionnalit\u00e9s souhait\u00e9es. Il existe plusieurs solutions pour cela. <\/p>\n\n\n\n
Tout d’abord, il faut mettre en place un syst\u00e8me d’authentification et d’autorisation robuste. Cela signifie que les utilisateurs doivent fournir des informations d’identification valides pour acc\u00e9der \u00e0 l’application et que les autorisations sont v\u00e9rifi\u00e9es avant de permettre l’acc\u00e8s \u00e0 des informations ou des fonctionnalit\u00e9s sp\u00e9cifiques.<\/p>\n\n\n\n
Ensuite, il est important de mettre en place des contr\u00f4les d’acc\u00e8s bas\u00e9s sur les r\u00f4les. Cela signifie que les diff\u00e9rents r\u00f4les ont des autorisations diff\u00e9rentes pour acc\u00e9der \u00e0 des informations et \u00e0 des fonctionnalit\u00e9s sp\u00e9cifiques.<\/p>\n\n\n\n
Enfin, il est important de mettre en place des contr\u00f4les de validation de donn\u00e9es pour s’assurer que les utilisateurs ne peuvent pas acc\u00e9der \u00e0 des informations ou \u00e0 des fonctionnalit\u00e9s qui ne leur sont pas destin\u00e9es en modifiant les param\u00e8tres de leurs requ\u00eates.<\/p>\n\n\n\n
Auteur : Alexis MARTIN \u2013 Pentester @Vaadata<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
Lors d’un pentest d’application web, nous avons d\u00e9couvert une vuln\u00e9rabilit\u00e9 li\u00e9e \u00e0 la configuration et \u00e0 la mauvaise gestion des contr\u00f4les de droits sur GraphQL.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-5759","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-technique"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/5759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=5759"}],"version-history":[{"count":31,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/5759\/revisions"}],"predecessor-version":[{"id":7323,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/5759\/revisions\/7323"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=5759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=5759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=5759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}