GraphQL 威胁矩阵

## 为什么选择 graphql-threat-matrix？ [graphql-threat-matrix](https://github.com/nicholasaleks/graphql-threat-matrix) 的构建旨在为漏洞赏金猎人、安全研究人员和黑客提供帮助，协助他们发现多种 GraphQL 实现中的漏洞。 不同的 GraphQL 实现对 GraphQL 规范的解释和遵循程度各不相同，这种差异可能导致安全缺口和独特的攻击向量。通过分析和比较不同实现中驱动安全风险的因素，GraphQL 生态系统可以做出更安全的部署决策，并共同提升所有实现的安全成熟度。

图例
✅  - 默认启用
⚠️  - 默认禁用
❌  - 不支持

实现	验证	字段建议	查询深度限制	查询成本分析	自动持久化查询	内省	调试模式	批量请求
wp-graphql	38	✅	⚠️	❌	❌	⚠️	⚠️	✅
graphql-php	37	✅	⚠️	⚠️	❌	✅	⚠️	⚠️
graphql-api-for-wp	37	⚠️	❌	❌	✅	✅	⚠️	✅
Apollo	34	✅	⚠️	⚠️	✅	✅	✅	✅
graphql-yoga	34	✅	⚠️	❌	❌	⚠️	⚠️	⚠️
graphene	34	✅	❌	❌	❌	✅	❌	⚠️
Ariadne	34	✅	⚠️	⚠️	❌	✅	⚠️	❌
Strawberry	34	✅	⚠️	❌	❌	✅	❌	❌
graphql-dotnet	29	✅	⚠️	⚠️	❌	✅	❌	⚠️
graphql-ruby	28	✅	❌	⚠️	⚠️	✅	❌	✅
Sangria	27	✅	⚠️	⚠️	❌	✅	❌	⚠️
Tartiflette	26	❌	❌	❌	❌	✅	❌	❌
graphql-java	26	✅	⚠️	⚠️	❌	✅	❌	⚠️
gqlgen	25	✅	❌	⚠️	⚠️	✅	⚠️	⚠️
Dgraph	25	✅	❌	❌	⚠️	✅	❌	❌
graphql-go	24	✅	❌	❌	❌	✅	⚠️	❌
juniper	24	❌	❌	❌	❌	✅	❌	⚠️
Diana.jl>	10	✅	❌	❌	❌	✅	❌	❌
gql-dart/gql	9	✅	❌	❌	❌	✅	❌	❌
Agoo	1	❌	❌	❌	❌	✅	⚠️	❌
Lighthouse	1	✅	⚠️	⚠️	⚠️	✅	⚠️	✅

## 面向渗透测试人员 使用 [graphw00f](https://github.com/dolevf/graphw00f) 对目标 GraphQL API 进行指纹识别，并确定其后端实现。 ## 想要提交内容（或进行更正）？ 有兴趣贡献？发现了差异？请创建一个包含详细信息的 GitHub issue 或 PR。 ## 贡献者与维护者 - [Nick Aleks](https://github.com/nicholasaleks) - [Dolev Farhi](https://github.com/dolevf)

标签：API安全, Bug Bounty, Chaos, CISA项目, GraphQL, JSON输出, RuleLab, Web安全, 内省攻击, 可自定义解析器, 威胁矩阵, 批量请求, 持久化查询, 攻击向量, 查询深度限制, 漏洞分析, 蓝队分析, 路径探测, 防御加固, 黑客技术