Federico1976/gitlab-compliance-graphql-authz-research

## 研究目标 本研究的目的是验证只读合规权限是否可以通过 GraphQL 变更操作跨越写操作边界。 调查主要集中在以下几个方面： - GraphQL 授权检查 - 自定义角色权限 - 合规仪表板功能 - 变更行为与权限命名之间的比较 - 审计和合规状态对完整性的影响 ## 影响 该问题影响了合规数据的完整性。 一个预期只有只读合规访问权限的用户可以更改合规违规状态，例如从“检测到”更改为“已解决”或“已驳回”。 ## 披露状态 该问题通过 HackerOne 负责任地报告。 报告被关闭为重复报告，因为之前已经提交了相同的问题，并且正在跟踪解决。 此存储库不包括私密的 HackerOne 讨论内容、除一般重复状态之外的内部报告标识符、实时目标数据、机密信息或非公开附件。 ## 存储库结构 - README.md - 主要公开报告 - SECURITY.md - 安全和披露通知 - docs/research-timeline.md - 清洁过的研究时间线 - docs/technical-analysis.md - 技术授权分析 - docs/responsible-disclosure.md - 披露和发布说明 - poc/sanitized-rspec-poc.md - 清洁过的概念验证逻辑 - evidence/ - 保留用于清洁过的证据 - screenshots/ - 保留用于清洁过的截图 ## 经验教训 本案例突出了一个反复出现的授权模式： 对于 GraphQL API，每个变更操作都应该与其实际产生的副作用进行审查，而不仅仅是审查它访问的对象。 ## 负责任的研究通知 此存储库发布用于教育和专业作品集目的。 所有细节都已清洁，以避免泄露私人项目信息、机密信息、客户数据或针对实时系统的利用材料。

标签：GitLab, GraphQL, HackerOne, XML 请求, Zenmap, 人工智能安全, 合规性, 合规管理, 安全开发, 安全测试, 安全漏洞, 安全漏洞修复, 安全漏洞修复流程, 安全漏洞分析, 安全漏洞利用场景, 安全漏洞响应, 安全漏洞影响评估, 安全漏洞披露, 安全漏洞挖掘, 安全漏洞生命周期管理, 安全漏洞管理, 安全漏洞验证, 开放策略代理, 授权边界, 攻击性安全, 数据完整性, 日志审计, 权限控制, 漏洞报告