Säkerhetskontroll

GraphQL-säkerhet: läcker eller överbelastar ert API?

GraphQL flyttar makten till klienten — och därmed risken. Vi kontrollerar om ert API läcker sitt schema, tillåter för djupa eller för dyra queries och saknar åtkomstkontroll på fältnivå.

Kör gratis domänscan Alla kontroller →
Berör: OWASP · API Security Top 10 ISO 27001 · A.8.26 säkerhetskrav i applikationer NIS2 · art. 21 — säker utveckling

Vad kontrolleras?

Vi granskar ert exponerade GraphQL-endpoint: är introspektion påslagen i produktion (läcker hela schemat), finns skydd mot för djupa/komplexa queries och batching-missbruk, och kontrolleras åtkomst per fält — eller räcker en query för att nå data en användare inte borde se?

Varför spelar det roll?

GraphQL:s flexibilitet gör klassiska brister värre: ett öppet schema visar angriparen exakt vad som finns, obegränsat query-djup blir en enkel DoS, och saknad fältnivå-auktorisering läcker data som REST-endpoints hade skyddat. Det är de vanligaste GraphQL-fynden i praktiken.

Hur Security Guru testar det

Vanliga fel

  • Introspektion påslagen i produktion — hela schemat publikt
  • Inga djup- eller komplexitetsgränser → enkel DoS via en query
  • Rate limiting per request som kringgås med aliasing/batching
  • Auktorisering på endpoint-nivå men inte per fält

Vad du får i rapporten

  • Introspektions- och schema-exponeringsstatus
  • Saknade djup-/komplexitets-/batchingskydd
  • Fält utan korrekt åtkomstkontroll
  • Prioriterad åtgärdslista mappad mot OWASP API Top 10

Vanliga frågor

Kör ni skarpa attacker mot vårt API?

Nej — kontrollen är icke-inträngande. Vi verifierar konfiguration och exponering utan att belasta eller exfiltrera data.

Täcker ni både Apollo och andra servrar?

Ja — kontrollerna gäller GraphQL-lagret oavsett server (Apollo, Hasura, egenbyggt m.fl.).

Ingår detta i en API-granskning?

Ja — GraphQL-specifika brister är en del av vår genomlysning av exponerade API:er.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan