Hasura GraphQL Engine 存在远程命令执行漏洞

最新推荐文章于 2024-07-10 10:04:07 发布
最新推荐文章于 2024-07-10 10:04:07 发布
阅读量351 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: graphql 安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130895253
版权

文章目录

Hasura GraphQL Engine 存在远程命令执行漏洞

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. Hasura GraphQL Engine 简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

Hasura GraphQL Engine是Hasura开源的一个非常快速的 GraphQL 服务器。

2.漏洞描述

Hasura GraphQL Engine是Hasura开源的一个非常快速的 GraphQL 服务器。 Hasura GraphQL Engine 存在远程命令执行漏洞。

CVE编号:
CNNVD编号:
CNVD编号:

3.影响版本

图片1Hasura GraphQL Engine 存在远程命令执行漏洞

4.fofa查询语句

“Hasura GraphQL”

5.漏洞复现

漏洞链接:http://127.0.0.1/v1/query
漏洞数据包:

POST /v1/query HTTP/1.1
Host: 127.0.0.1
User
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
远程命令执行漏洞总结
2201_75857869的博客
02-09 383
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开发的Gson包,其他形式的如net.sf.json包,都可以实现json的转换。方法名称不同而已,最后的实现结果都是一样的。
hasura_使用Hasura构建GraphQL应用
weixin_26750481的博客
09-11 4085
hasuraToday in this article we are going to build a secure todo list using GraphQL API with Hasura. First you have to know about Hasura. It is nothing but a postgreSQL database that automatically give...
GraphQL入门与开源的GraphQL引擎Hasura体验
Heartsuit的博客
11-04 1969
Hasura 是一个开源的 GraphQL 引擎,它可以帮助开发人员快速构建和部署现代应用程序的后端。它提供了一个自动化的 GraphQL API ,可以直接连接到现有的数据库,并提供实时数据推送和订阅功能。 Hasura 团队总部位于印度。作为一款后端低代码平台,也推荐使用对标 Hasura 的国产替代产品:飞布:飞布是可视化API开发平台,对标 hasura ,灵活开放、多语言兼容、简单易学,能构建生产级 WEB API ,让前端变全栈,让后端不搬砖。
渗透测试之graphQL
Sp4rkW的博客
12-03 6715
原文出处, 酒仙桥六号部队的玩转graphQL,此文只是转载用于自己mark 全文目录1、前言2、前置知识2.1、什么是GraphQL2.2、基本属性2.2、内省查询3、GraphQL中常见的问题3.1、内省查询问题3.2、信息泄露3.3、SQL注入3.4、CSRF3.5、嵌套查询拒绝服务3.6、权限问题4、总结 1、前言 在测试中我发现了很多网站开始使用GraphQL技术,并且在测试中发现了其使用过程中存在的问题,那么,到底GraphQL是什么呢?了解了GraphQL后能帮助我们在渗透测试中发现哪些问.
wlb-ra-data-hasura:Hasura GraphQL Engine的自定义react-admin数据提供者
05-01
ra-data-hasura Hasura GraphQL Engine的数据提供程序。 从并为内部使用进行了自定义。动机为什么这个由于Hasura GraphQL Engine具有所有核心引擎甚至社区工具的monorepo,因此为简化起见,我们将其作为一个存储库...
hasura-graphql-engine-https:具有Caddy Web服务器和HTTPS的Hasura GraphQL Engine docker设置使用LetsEncrypt
04-30
编辑docker-compose.yaml并将HASURA_GRAPHQL_ACCESS_KEY更改为安全的内容 docker-compose up -d GraphQL端点将为https://<your>/v1alpha1/graphql控制台将在https://<your>/console上可用 连接到外部Postgres ...
ra-data-hasura:Hasura GraphQL Engine的react-admin数据提供者
05-12
该实用程序基于ra-data-graphql构建,并且是当前Hasura GraphQL API格式的自定义数据提供程序。 现有的ra-data-graphql-simple提供程序要求您的GraphQL终结点为公开的对象和方法实现特定的语法,这与Hasura有所不同...
weworkin.xyz:由Hasura GraphQL Engine驱动的人才开发板
05-27
Hasura Console现在在,并在GraphQL端点。 2.应用迁移和元数据 安装 运行hasura-init.sh 。 这是一个小的帮助程序脚本,用于处理迁移的初始设置。 完成此初始设置后,所有与迁移和元数据有关的事情都将在hasura...
graphql-schema-stitching-demo:Hasura GraphQL + MetaWeather API的模式拼接示例
05-08
先决条件此演示需要使用以下架构运行HasuraGraphQL Engine:一个名为Person的表,其列id , name和city 。用法npm installHASURA_GRAPHQL_ENGINE_URL=http://localhost:9000 npm start更改HASURA_GRAPHQL_ENGINE_...
简单的自托管hasura
weixin_26716079的博客
10-14 1005
With HTTPS, Docker, Digital Ocean, Google Domains使用HTTPS,Docker,Digital Ocean,Google Domains Hasura is an awesome tool to rapidly prototype a back end api. Hasura cloud is a newer product of theirs th...
hasura graphql 集成pipelinedb测试
weixin_34061042的博客
08-26 168
实际上因为pipelinedb 是原生支持pg的,所以应该不存在太大的问题,以下为测试 使用doker-compose 运行 配置 docker-compose 文件 version: '3.6' services: postgres: image: tkanos/pipelinedb_kafka ports: - "5432:54...
Hasura GraphQL 简单入门(二)
lxyvonne的博客
11-01 2564
Hasura GraphQL 简单入门(二)1,什么是Hasura GraphQL2,如何使用Hasura GraphQL2.1 创建表2.2 跟踪表2.3 增查语句2.4 表关系2.4.1 GraphQL 模式关系![在这里插入图片描述](https://img-blog.csdnimg.cn/60ccc2aab4794ab2adae42e466d70f1b.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,t
Hasura GraphQL 内部表结构
weixin_34309543的博客
11-13 844
Hasura 使用pg 数据库存储引擎的元数据信息,在hdb_catalog schema 下面,是在初始化的时候生成的 对于表的管理、权限的信息存储都在这个schema下 hdb_table 这个表包含了所有通过web界面或者cli工具管理的表以及视图 列的定义 table_schema: 表或者视图的schmema table_name: 表或者视图的名称 is_s...
hasura graphql-engine v1.0.0-alpha26 版本新功能
weixin_33693070的博客
10-27 154
hasura 发布了graphql-engine v1.0.0-alpha26 版本,有一些破坏的变动,以及方便的新特性 破坏性变动 order_by 从 order_by: id_asc 为 order_by:{id:asc} 特性 支持聚合操作了,很方便,每一个数组关联,将会有一个 _aggregate 字段,方便进行聚合函数的使用 参考: count su...
hasura graphql 模式拼接demo
weixin_33989780的博客
07-25 482
实际上通过上边的介绍,模式拼接和hasura 基本没啥关系了,就是使用graphql-bindings 进行schema 合并了 基本demo 这个是官方提供的demo git clone https://github.com/hasura/graphql-schema-stitching-demo 运行 依赖安装 yarn 运行 H...
hasura graphql server (haskell)构建
weixin_33895657的博客
07-30 246
安装 &amp;&amp;运行pg(docker) version: '3.6' services: postgres: image: postgres environment: - "POSTGRES_PASSWORD:dalong" restart: always ports: - "5432:5432" vo...
远程命令执行漏洞远程代码执行漏洞33333
zkq001002的博客
10-05 9059
远程命令执行漏洞的原理 远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端 没有针对执行函数做 过滤,导致在没有指定绝对路径的情况下就执行命令 复现示例 Tomcat任意文件上传漏洞CVE-2017-12615 介绍 ApacheTomcat服务组件中开启了http的Put方法所造成的攻击者可以利用该方法任意 上传jsp木马所造成的远程代码执行漏洞。 知默认情况下是禁止http请求...
项目实战--Spring Boot + GraphQL实现实时数据推送
最新发布
qq_40623672的博客
07-10 493
GraphQL是一种用于API的查询语言,核心思想是让客户端能够根据自身需求精确地获取所需的数据,而不是像传统的RESTful API那样只能获取整个资源对象。(1)灵活性:客户端可以精确指定所需的数据字段,而不是被限制于服务器端提供的固定数据结构。(2)效率:减少了不必要的数据传输和处理,提高了数据获取效率。(3)类型系统:GraphQL具有严格的类型系统,能够在编译阶段检测出潜在的错误,提高了开发效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值