В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST.

Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов:

• https://www.howtographql.com/ — интерактивное обучение с заданиями и контрольными точками. Обучение начинается с нуля и заканчивается разработкой GraphQL-приложения.
  
• https://graphql.org/learn/ и https://graphql.github.io/graphql-spec/June2018 — обучение в формате документации. Подходит, если вы хотите изучить конкретную тему.
  
• [upd 04.07.19] https://ctf.hacker101.com — HackerOne сделали два задания на поиск уязвимостей в GraphQL. Хорошее место, чтобы опробовать Voyager. Задания называются BugDB v1 и BugDB v2.
  

В этой статье я хочу поделиться одним из инструментов для поиска уязвимостей в GraphQL API. Если вы искали уязвимости в GraphQL API, то наверняка сталкивались с такими проблемами:

• Вместо документации у вас огромный нечитаемый JSON (GraphQL schema).
  
• Веб-приложение использует только часть GraphQL API, поэтому вы не видите все данные и эндпойнты.
  

В решении этих проблем хорошим помощником является GraphQL Voyager, который визуализирует GraphQL schema. Визуализация значительно облегчает понимание GraphQL API и помогает быстрее найти уязвимости.