La seguridad en aplicaciones web es un aspecto crucial en la era digital actual. Con la creciente popularidad de GraphQL, una tecnología de consulta para APIs, la necesidad de asegurar su implementación se vuelve primordial. Es aquí donde entra en juego InQL, una herramienta de prueba de seguridad diseñada específicamente para facilitar los esfuerzos de auditoría de seguridad en tecnologías basadas en GraphQL.
¿Qué es InQL?
InQL, una extensión de Burp Suite, se presenta como un script independiente o como una extensión para facilitar la auditoría de seguridad en GraphQL. Esta herramienta, disponible en GitHub, ha ganado popularidad por su capacidad para simplificar el proceso de identificación y corrección de posibles vulnerabilidades en aplicaciones GraphQL.
Características Principales:
- Búsqueda de Rutas GraphQL Conocidas: InQL permite buscar rutas URL GraphQL conocidas, facilitando la identificación de puntos de entrada para posibles ataques.
- Identificación de Consolas de Desarrollo Exponenciales: La herramienta busca consolas de desarrollo GraphQL expuestas, un aspecto crucial para prevenir amenazas en las etapas tempranas del desarrollo.
- Interfaz de Usuario Amigable en Burp Suite: Desde la versión 1.0.0, InQL se ha extendido para funcionar dentro de Burp Suite. Esta modalidad conserva todas las capacidades del script independiente y agrega una interfaz de usuario conveniente para manipular consultas.
- Uso de una Pestaña GraphQL Personalizada: InQL permite utilizar una pestaña GraphQL personalizada que se muestra en cada solicitud/respueta HTTP que contiene GraphQL.
- Generación de Plantillas: Facilita la generación de plantillas al enviar solicitudes al herramienta Repeater de Burp.
- Soporte para Editor y Generación de Plantillas: InQL aprovecha el soporte de editor y generación de plantillas al enviar solicitudes a GraphIQL integrado.
- Configuración Personalizada: Se puede configurar la herramienta utilizando una pestaña de configuración personalizada, ofreciendo flexibilidad según las necesidades específicas del usuario.