GraphQL 인트로스펙션 악용 포인트

GraphQL은 스키마가 API 설명서 자체입니다. 인트로스펙션이 열려 있으면 공격자는 쿼리 표면을 그대로 확보합니다. CTF에서도 흔한 초반 단서죠.

빠른 체크

• __schema, __type 접근 가능 여부
• 숨겨진 필드/뮤테이션(관리자용) 노출
• 예상치 못한 리졸버에서 SSRF/파일읽기 트리거

공격 흐름 예시

1. 인트로스펙션으로 타입/필드 수집
2. 에러 메시지 기반으로 권한 분기 파악
3. 과도한 중첩 쿼리로 DoS 테스트(리미트 확인)

운영 환경에서는 인트로스펙션을 제한하거나 토큰 기반으로만 허용하고, 쿼리 복잡도 제한을 꼭 걸어두는 게 핵심입니다.