文章总结： 本文演示GraphQL自省功能的实战利用。通过BurpSuite检测端点并调用自省查询，获取包含postPassword在内的隐藏字段。将这些字段加入请求，成功读取系统密码等敏感信息。文章揭示了自省开启带来的数据泄露风险，建议生产环境关闭自省或严格限制查询权限。 综合评分： 83 文章分类： 渗透测试,WEB安全,漏洞分析

【接口漏洞第八章第六节】GraphQL端点发现了，然后呢？实战利用自省功能“透视”API

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年1月26日 19:36 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

我们在前面章节中，有大量介绍到GraphQL API的自省功能理论原理，但在实际运用中，要如何使用，可能大家会有些疑惑，今天我们就结合实际的例子来演示一波，帮助大家加深理解。

在开始之前，还是进行系统的全面访问，并获取到可疑的 GraphQL API 端点，如下：

发现端点后，将该接口发送至burpsuite的repeater插件中，并做进一步挖掘。

在repeater中，burpsuite工具中会自动识别 GraphQL API 接口是否开启了自省功能的，被测系统如果开启了该功能，我们就可以直接进入repeater菜单中的 GraphQL 功能，并选择 Set introspection query 功能项，就可以自动拆解接口内部文档内容，并能正常响应接口请求参数内容。

如下图，通过工具调用该 graphQL 接口的自省功能后，得到系统的所有请求字段信息。

在获取到系统响应的内部字段后，我们就要阅读理解响应字段内容，以上响应字段内容中，有一个比较特殊的参数字段，是”postPassword”，我们暂时留言一下这个字段。并复制留用

在通过接口的自省功能，获取到隐藏的敏感字段后，我们就要做最后一步的验证及利用步骤了。我们先来看该接口的原始请求格式及数据响应内容，具体如下：

知道 graphQL api 的请求参数格式后，我们就可以将之前通过自省功能获取到的可疑参数字段 “postPassword”放入并进行验证。最终可以发现，该系统确实存在自省功能泄露敏感信息的情况，通过添加自省功能响应的字段名称，就能直接请求响应到对应操作人的系统密码信息。【不仅限于密码，还有其他的一些数据，都可以通过添加正确的参数名进行获取】具体如下：

好了，今天的实际操作就分享到这，希望这种实际场景的操作，对你理解graphQL api 的自省功能有些帮助，关于API接口漏洞的相关内容，这边会持续分享，感兴趣的话，可以点点关注。

觉得内容对你有用或无用，欢迎点赞或留言，这边会不断更正。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《【接口漏洞第八章第六节】GraphQL端点发现了，然后呢？实战利用自省功能“透视”API》