Cómo hacer que la seguridad de GraphQL sea más fácil con StackHawk

¿Qué tal, GraphQL Galaxy? Soy Scott Gerlach, CSO y cofundador de StackHawk. Eso pareció extraño, no debería haberlo hecho. Soy demasiado mayor para eso. Gracias por tomarte el tiempo de revisar StackHawk. Espero que estés teniendo una gran conferencia en GraphQL Galaxy y aprendiendo mucho. Hoy quería hablar un poco sobre StackHawk. En resumen, StackHawk es una herramienta dinámica de pruebas de seguridad de aplicaciones. Puedes usarla para probar tus aplicaciones HTTP en ejecución y puntos finales de API en busca de errores de seguridad y evitar que se vuelvan vulnerables. Puedes utilizar StackHawk para realizar pruebas de seguridad activas en tu API REST en ejecución, API GraphQL, API SOAP, aplicación de supervisión y aplicaciones de una sola página. StackHawk fue creado para la automatización en CI/CD y formar parte de tu sólida estrategia de pruebas para el ciclo de vida del desarrollo de aplicaciones. También facilita la búsqueda, comprensión y solución de errores de seguridad. ¿Cómo funciona StackHawk te preguntarás? Buena pregunta. StackHawk realiza pruebas de seguridad activas en tus aplicaciones en ejecución para garantizar que tu aplicación maneje la entrada y salida del usuario de manera segura, y que implemente las mejores prácticas OWASP Top 10 para la seguridad de la aplicación. Podemos hacer esto en tus aplicaciones en tu host local, en flujos de trabajo de CI/CD y en aplicaciones que aún no se han publicado en Internet. También hemos hecho que las pruebas dinámicas sean rápidas. Al colocar el escáner lo más cerca posible de la aplicación y utilizar estándares abiertos para informar al escáner, como especificaciones de API abiertas, consultas de introspección de GraphQL, WSDL de SOAP, además de la configuración del escáner, la mayoría de las aplicaciones de los clientes de StackHawk se escanean en un promedio de menos de 10 minutos. Encontrar y solucionar problemas de seguridad es sencillo con StackHawk. Nuestro enfoque como empresa es ayudar a los desarrolladores a encontrar y, lo más importante, solucionar problemas de seguridad. El escáner y la plataforma de StackHawk están diseñados en torno al modelo de simplicidad. El escáner se configura mediante YAML que se encuentra junto con el código de la aplicación que estás probando. Cuando se evalúan los resultados de StackHawk, la plataforma intenta brindarte la versión más simple de la información necesaria para ayudarte a comprender rápidamente cuál es el problema, con descripciones simples y ejemplos de patrones para ayudarte a identificar el anti-patrón, poder recrear el problema con herramientas como el comando curl para reproducir el ataque, y llevarte al modo de depuración para revisar el código lo más rápido posible y ayudarte a solucionar los problemas y volver a tu trabajo habitual de crear valor para tus clientes. Todo esto está habilitado para CI/CD. Nuevamente, puedes integrarlo en tu proceso de CI y, lo que es más importante, obtener comentarios sobre los resultados del escaneo en el proceso de CI. Esta información se puede utilizar para interrumpir una compilación si así lo deseas, según la gravedad de los resultados no evaluados. Aquí se muestran los logotipos de la mayoría de las principales plataformas de CI y, incluso si la tuya en particular no está, es muy probable que Stackhawk funcione en tu plataforma siempre que pueda ejecutar un contenedor Docker. Si puedes ejecutar Docker, puedes ejecutar Stackhawk. También puedes ver aquí que Stackhawk se integra con tu flujo de trabajo y herramientas de información. Podemos notificarte los resultados del escaneo en un canal de Slack, publicar esa información en Datadog o enviarte un mensaje simple de webhook que luego puedes utilizar para procesar y hacer lo que desees con los datos. Echemos un vistazo a cómo se ve el escaneo de Stackhawk en una aplicación GraphQL. Como puedes ver, tengo mi aplicación GraphQL simple.

Se trata de los conceptos básicos de un servicio que ejecutaría un blog, y hoy lo estamos probando con Stackhawk. Así que puedes ver que tiene algunas publicaciones e ideas de publicaciones, algún contenido, y queremos poder probarlo con el escáner de Stackhawk para ver si tiene alguna vulnerabilidad de seguridad.

Para hacer eso, vamos a utilizar un comando simple de ejecución de Docker. Puedes ver que acabo de iniciar el escaneo justo antes de comenzar a hablar hoy, y tengo un simple comando de ejecución de Docker aquí que es docker run stackhawk hackscan, y le estoy proporcionando un archivo Stackhawk.yml. Vamos a ver ese archivo y en un momento.

Lo que puedes ver aquí es que dice que hemos activado nuestro motor de GraphQL y tenemos la información sobre qué host es. Puedes ver que el host se está ejecutando en mi localhost en el puerto 3000, y también puedes ver que el escáner encontró once rutas diferentes de GraphQL en la aplicación. Esto es importante porque en realidad lo sabe a partir del punto de introspección de GraphQL. No está adivinando lo que está disponible en esta aplicación de GraphQL. Está bien documentado en el punto de introspección y el escáner lo utiliza para probarlo.

Acabo de realizar un escaneo justo antes de esto, así que vamos a ir a la plataforma y ver qué tipo de salida tenemos. Aquí puedes ver nuestro escaneo que ya está en ejecución, pero el que realicé justo antes de esto está aquí. Así que puedes ver que tengo un par de problemas diferentes. Hay algunas cosas interesantes aquí que podemos ver. ¿Qué tipo de pruebas se ejecutaron en esta aplicación? ¿Qué tipo de resultados tenemos? Vamos a profundizar en uno de estos problemas, ¿de acuerdo? Tengo dos problemas de alta prioridad, problemas de alta criticidad. Y hay una inyección SQL y una inyección de comando remoto en el sistema operativo. Vamos a profundizar en esa inyección de comando remoto en el sistema operativo muy rápidamente. Al hacer clic en ese hallazgo, nos lleva a una descripción simple de qué es la inyección de comando remoto en el sistema operativo, así como cómo un atacante podría aprovechar esa inyección de comando remoto en el sistema operativo y formas de remediar este problema. Así que puedes ver que en realidad tenemos en nuestra mutación aquí, nuestra súper secreta mutación privada. Tenemos algún tipo de problema. Así que aquí, en el lado de la solicitud y respuesta del panel, puedes ver que durante una mutación con esta variable, hemos causado algún tipo de salida que se parece, se parece al contenido del archivo /etc/passwd. Así que rápidamente estamos entrando en el contexto de cuál es el problema. ¿Cómo puedo recrearlo para poder solucionarlo? Hay un par de cosas muy útiles aquí. Una, hemos formateado todas estas solicitudes de GraphQL en un formato de GraphQL. Así que puedes ver que la operación y las variables tienen mucho sentido en relación a GraphQL. La otra cosa que hemos hecho es crear este botón de validación en la parte superior. Así que si quisieras, podrías simplemente copiar y pegar esta solicitud curl y reproducirla en la aplicación. Pero lo que realmente me gusta de GraphQL es que está tan bien formateado y ya tengo GraphiQL abierto, como vimos antes, puedo copiar y pegar nuestra solicitud, pegarla de nuevo en nuestra aplicación, y luego puedo copiar nuestras variables y pegarlas también en la aplicación. Así que ahora puedo reproducir exactamente lo que hizo el escáner en mi aplicación, en GraphiQL, sin demasiados problemas. Así que puedo ver lo que sucedió aquí, el escáner intentó hacer un cat de /etc/passwd, que en las cajas de Linux es donde se almacena toda la información de los usuarios, no las contraseñas, los usuarios. Y lo que salió de eso fue en realidad el contenido de ese archivo. Así que eso es malo. Queremos poder ingresar a la aplicación, comenzar a depurar y solucionar cómo funciona realmente. Esto es realmente bueno para prepararte para el éxito en cómo puedo volver a mi aplicación, depurar, solucionar este problema y seguir adelante con el negocio de crear valor para mis clientes como desarrollador. Espero que hayas disfrutado de mi charla hoy y tal vez hayas aprendido algo nuevo sobre cómo StackHawk se puede integrar en tu flujo de trabajo de desarrollo. Si quieres ver StackHawk y ver cómo puedes integrarlo en tu proceso de desarrollo, para seguir empujando los límites en cuanto a calidad de desarrollo de software, siempre puedes comenzar una prueba gratuita en stackhawk.com. StackHawk se puede utilizar de forma gratuita en una sola aplicación. Gracias por ver y acompañarme en la demostración de StackHawk. Espero que sigas disfrutando de GraphQL Galaxy. Nos vemos la próxima vez.