Taint Analysis for Graph APIs Focusing on Broken Access Control

Die Autoren stellen einen systematischen Ansatz zur statischen und dynamischen Taint-Analyse von Graph-APIs vor, der mithilfe von Graphtransformation und kritischer Paaranalyse Broken Access Control-Schwachstellen identifiziert und durch Anwendung auf die GitHub GraphQL-API sowohl unzulässige Zugriffe als auch ungerechtfertigte Zugriffsbeschränkungen aufdeckt.

Das Wesentliche

Stellen Sie sich vor, ein Graph-API ist wie eine riesige, digitale Bibliothek oder ein soziales Netzwerk, in dem alle Daten nicht in Schubladen, sondern als Knotenpunkte in einem riesigen Netz gespeichert sind. Ein Knoten ist ein Benutzer, ein anderer ein Projekt, eine Verbindung ist eine Freundschaft oder ein Kommentar.

Das Problem: In diesem riesigen Netz gibt es Sicherheitslücken. Manchmal kann jemand etwas tun, das er gar nicht darf (z. B. ein fremdes Projekt löschen), oder er kann etwas nicht tun, das er eigentlich sollte. Das nennt man „Broken Access Control" (zerbrochene Zugriffskontrolle).

Die Autoren dieses Papers haben eine neue Methode entwickelt, um genau diese Lücken zu finden. Sie nennen es „Taint Analysis". Lassen Sie uns das mit einer einfachen Geschichte erklären.

1. Das Konzept: Der „Schmutzige" Brief (Taint Analysis)

Stellen Sie sich vor, Sie arbeiten in einer Bank.

• Die Quelle (Source): Jemand legt einen Brief mit sensiblen Bankdaten auf den Tisch. Dieser Brief ist jetzt „verseucht" (im Englischen: tainted). Er ist gefährlich, weil er Informationen enthält, die nur bestimmte Leute sehen dürfen.
• Die Senke (Sink): Ein anderer Mitarbeiter nimmt diesen Brief und schickt ihn an jemanden, der keine Erlaubnis hat, ihn zu lesen.

Die Taint Analysis ist wie ein unsichtbarer Sicherheitsbeamter, der diesem „verseuchten" Brief von Anfang bis Ende folgt. Er fragt sich: „Wer hat diesen Brief angefasst? Wer hat ihn weitergegeben? Und hat jemand ohne Ausweis daran gekratzt?"

2. Die drei Schritte der Methode

Die Autoren haben ihren Prozess in drei Teile zerlegt, wie einen dreiteiligen Sicherheitscheck:

Schritt 1: Das Setup (Die Vorbereitung)

Zuerst müssen die Sicherheitsanalysten die Bibliothek (die Graph-API) genau zeichnen. Sie markieren alle Knoten, die sensibel sind (z. B. „Geheime Projekte"), mit einem roten Kleber (dem „Taint").

• Sie definieren: Wer darf diese roten Knoten erstellen? (Das sind die Quellen).
• Sie definieren: Wer darf diese roten Knoten lesen oder ändern? (Das sind die Senken).

Schritt 2: Die statische Analyse (Der theoretische Check)

Hier kommt die Magie der Mathematik ins Spiel. Die Autoren nutzen ein Werkzeug namens Graph-Transformation (man kann sich das wie ein Lego-Set vorstellen).

• Sie simulieren: „Was passiert, wenn Regel A (Erstelle Projekt) und Regel B (Ändere Projekt) nacheinander ausgeführt werden?"
• Sie nutzen eine Technik namens Critical Pair Analysis. Das ist wie ein Detektiv, der alle möglichen Kollisionen im Lego-Set vorhersagt. Er schaut: „Könnte es passieren, dass jemand das Projekt erstellt und dann sofort jemand anderes es ändert, ohne dass die Tür verschlossen ist?"
• Das Ergebnis: Eine Liste von verdächtigen Szenarien. Aber Achtung: Diese Liste enthält auch „Falsch-Positivs" (Szenarien, die theoretisch möglich sind, aber in der Praxis vielleicht nie passieren).

Schritt 3: Die dynamische Analyse (Der echte Test)

Da die theoretische Liste nicht perfekt ist, müssen wir es in der echten Welt testen.

• Die Analysten schreiben kleine Skripte (wie Roboter), die genau diese verdächtigen Szenarien nachspielen.
• Szenario A (Positiv-Test): Ein Chef (Owner) erstellt ein Projekt und ändert es. -> Erwartung: Alles läuft glatt.
• Szenario B (Negativ-Test): Ein Chef erstellt ein Projekt, aber ein einfacher Mitarbeiter (Collaborator) versucht, es zu ändern. -> Erwartung: Das System sollte „Stopp!" schreien und den Zugriff verweigern.
• Wenn der Roboter in Szenario B trotzdem erfolgreich ist, haben wir eine echte Sicherheitslücke gefunden!

3. Ein konkretes Beispiel aus dem Paper: GitHub

Die Autoren haben ihre Methode an GitHub getestet (einer Plattform, auf der Programmierer Code teilen).

• Das Problem: Es gab einen echten Fehler (Issue 106598), bei dem man bestimmte Vergleiche zwischen Code-Zweigen machen konnte, obwohl man eigentlich keine Berechtigung dafür hatte, wenn man sich mit einem bestimmten Token anmeldete.
• Die Lösung: Die Methode hat diesen Fehler automatisch gefunden. Sie hat simuliert: „Was passiert, wenn ich diesen Vergleich mit Token A mache?" und „Was passiert mit Token B?". Das System hat bestätigt: „Aha! Mit Token B darf das gar nicht gehen, aber es ging trotzdem!"

Warum ist das wichtig?

Früher mussten Sicherheits-Experten stundenlang manuell durch den Code schauen, um zu verstehen, wer was tun darf. Das ist wie nach einer Nadel im Heuhaufen zu suchen.
Diese neue Methode ist wie ein Metalldetektor. Sie scannt das gesamte Netz systematisch, markiert alle verdächtigen Stellen und sagt den Experten genau: „Hier musst du nachschauen!"

Zusammenfassung in einem Satz

Die Autoren haben einen automatischen Sicherheits-Scanner gebaut, der für Graph-Datenbanken (wie GitHub) nachschaut, ob sensible Daten versehentlich an die falschen Hände geraten, indem sie erst theoretisch alle möglichen Wege durchrechnen und diese dann in der echten Welt nachspielen.

Das ist ein großer Schritt, um die Sicherheit von modernen Web-Apps zu gewährleisten, bevor böswillige Hacker die Lücken finden.

Technische Zusammenfassung

1. Problemstellung

Graph-APIs (z. B. basierend auf GraphQL) modellieren Daten als Knoten und Beziehungen als Kanten. Diese Architektur stellt neue Herausforderungen für die Sicherheit dar, insbesondere im Bereich der zerbrochenen Zugriffskontrolle (Broken Access Control, BAC). BAC ist eine der häufigsten Sicherheitslücken in Webanwendungen, bei der Benutzer Aktionen ausführen können, die außerhalb ihrer Berechtigungen liegen (z. B. Zugriff auf oder Manipulation von Daten, die sie nicht sehen oder ändern dürfen).

Das Hauptproblem besteht darin, dass für Graph-APIs noch keine umfassenden Methoden und Werkzeuge zur Sicherheitsanalyse existieren. Herkömmliche Ansätze sind oft nicht direkt auf die graphbasierte Natur dieser APIs übertragbar. Es fehlt an systematischen Verfahren, die sowohl statisch potenzielle Schwachstellen identifizieren als auch dynamisch verifizieren, ob die Zugriffskontrollrichtlinien korrekt implementiert sind.

2. Methodik

Die Autoren präsentieren einen systematischen Ansatz, der Taint-Analyse (Verschmutzungsanalyse) mit Graph-Transformationen kombiniert. Der Ansatz gliedert sich in drei Phasen: Setup, Statische Analyse und Dynamische Analyse.

A. Formalisierung (Setup)

• Graph-Transformation: Die Graph-API wird formal als Menge von Graph-Transformationsregeln modelliert, die über einem Typ-Graphen (Type Graph) definiert sind. API-Aufrufe (Queries und Mutations) werden als direkte Transformationen dargestellt.
• Tainting (Verschmutzung): Der Sicherheitsanalyst markiert (taintet) Knoten im Typ-Graphen, die sensible Daten repräsentieren (z. B. Repositories, Issues).
• Quellen und Senken: Basierend auf den getainten Knoten werden Regeln klassifiziert:
  • Source-Regeln: Erstellen Instanzen getainter Knoten (z. B. createRepo).
  • Sink-Regeln: Lesen oder manipulieren Instanzen getainter Knoten (z. B. updateRepo, deleteIssue).
• Richtlinien-Orakel: Eine rollenbasierte Zugriffskontrollrichtlinie wird als Orakel modelliert, das für jeden API-Aufruf und jede Rolle entscheidet, ob der Zugriff erlaubt sein sollte (Policy Oracle) oder ob er in der Implementierung tatsächlich erlaubt ist (Policy Implementation).

B. Statische Analyse

• Abhängigkeitsanalyse: Mithilfe der Critical Pair Analysis (CPA) werden Abhängigkeiten zwischen Source- und Sink-Regeln automatisch berechnet. Dies geschieht auf einer „groben Granularität" (coarse granularity), um minimale Abhängigkeitsgründe zu finden.
• Erkennung von Flüssen: Ein „tainted information flow" liegt vor, wenn eine Source-Regel einen getainten Knoten erstellt und eine nachfolgende Sink-Regel diesen Knoten verwendet.
• Soundness (Korrektheit):
  • Der Ansatz ist sound für direkte Vulnerabilitäten: Wenn eine Sink-Regel direkt auf eine Source-Regel folgt, wird die Abhängigkeit garantiert erkannt.
  • Für indirekte Vulnerabilitäten (wo Zwischenregeln liegen) wird gezeigt, dass die Analyse unter bestimmten Bedingungen (sequenzielle Unabhängigkeit der Regeln und Stabilität der Richtlinie gegenüber Verschiebungen) ebenfalls sound ist. Andernfalls können falsche Negative auftreten.
• Ergebnis: Die Analyse liefert eine Liste potenzieller riskanter Flüsse, die vom Analysten manuell überprüft werden müssen, um zu entscheiden, ob sie durch die Richtlinie abgedeckt sind (gesichert) oder nicht (ungesichert).

C. Dynamische Analyse

• Testgenerierung: Basierend auf den Ergebnissen der statischen Analyse werden konkrete Testfälle generiert.
  • Positive Tests: Prüfen, ob autorisierte Benutzer Zugriff erhalten (erwartet: Erfolg).
  • Negative Tests: Prüfen, ob nicht-autorisierte Benutzer Zugriff verweigert wird (erwartet: Fehler/Ausnahme).
• Abdeckung: Es werden zwei Abdeckungskriterien definiert:
  • Flow Coverage: Sicherstellung, dass für jede identifizierte Abhängigkeit (gesichert und ungesichert) Tests existieren.
  • Role Coverage: Sicherstellung, dass Tests verschiedene Rollenkombinationen (z. B. Owner vs. Collaborator) abdecken.
• Verifikation: Die Tests werden gegen die reale API-Implementierung ausgeführt. Ein Versagen eines positiven Tests oder das Ausbleiben einer erwarteten Ausnahme bei einem negativen Test deutet auf eine echte BAC-Schwachstelle hin.

3. Wichtige Beiträge

1. Erster systematischer Ansatz: Dies ist der erste Ansatz, der Taint-Analyse spezifisch für Graph-APIs unter dem Fokus auf Broken Access Control kombiniert.
2. Formale Grundlage: Die Nutzung von Graph-Transformationen bietet eine natürliche und formale Basis zur Modellierung von Graph-APIs und deren Datenflüssen.
3. Soundness für direkte und indirekte Flüsse: Das Paper liefert formale Beweise (Theorem 3.10 und 3.13), unter welchen Bedingungen die statische Analyse auch indirekte Angriffsvektoren (mit Zwischenoperationen) sicher erkennt.
4. Hybrider Ansatz: Die Kombination aus statischer Analyse (zur Identifikation potenzieller Risiken) und dynamischer Analyse (zur Verifikation der Implementierung) bietet eine vollständige Prüfungsmethodik.
5. Erweiterung bestehender Arbeit: Im Vergleich zur Vorgängerarbeit (ICGT '24) wird die Formalisierung erweitert, um indirekte Vulnerabilitäten besser zu behandeln, und es wird ein neues Abdeckungskriterium („Role Coverage") eingeführt.

4. Ergebnisse und Anwendung

Die Methode wurde auf zwei Szenarien angewendet:

1. Erweiterter Laufbeispiel: Eine vereinfachte Version einer GitHub-ähnlichen Plattform. Hier wurden Source- und Sink-Regeln für Repositories, Projects und Issues definiert. Die Analyse identifizierte Abhängigkeiten wie (createIssue, updateIssue). Die dynamischen Tests bestätigten, dass die GitHub-API diese Flüsse korrekt absichert (gesicherter Fluss), während ein undokumentierter Fall (createProject, deleteProject) als ungesichert markiert wurde, aber in der Praxis implizit geschützt war.
2. Reproduktion einer echten Schwachstelle (GitHub Issue #106598):
   • Problem: Ein spezifischer GraphQL-Call (compare in Ref) erforderte bei OAuth-Authentifizierung den Scope repo, bei Fine-Grained-Tokens jedoch nicht, was zu einem Inkonsistenz-Risiko führte.
   • Anwendung: Die Autoren modellierten die relevanten Schema-Teile (Repository, Branch, Commit, Comparison) als Graph-Transformationen.
   • Ergebnis: Die dynamische Analyse reproduzierte die Schwachstelle erfolgreich. Ein Test mit OAuth ohne Scope scheiterte (erwartet), während der Test mit Fine-Grained-Token ohne Scope erfolgreich war (unerwartet, da dies eine Lücke darstellt). Dies bestätigte die praktische Anwendbarkeit des Ansatzes zur Aufdeckung realer Sicherheitslücken.

5. Bedeutung und Ausblick

• Praxisrelevanz: Der Ansatz bietet Sicherheitsanalysten ein Werkzeug, um komplexe Zugriffskontrollprobleme in modernen Graph-APIs systematisch zu untersuchen, anstatt sich auf manuelle Code-Reviews oder reine Fuzzing-Methoden zu verlassen.
• Automatisierungspotenzial: Obwohl derzeit Teile des Prozesses (Modellierung der API, Review der Flüsse) manuell erfolgen, zeigt das Paper den Weg zur Automatisierung auf (z. B. automatische Extraktion von Typ-Graphen aus GraphQL-Schemata).
• Zukunft: Geplante Arbeiten umfassen die Automatisierung der Übersetzung von GraphQL zu Graph-Transformationen, die Erweiterung der statischen Analyse für komplexere indirekte Abhängigkeiten und die Anwendung auf andere Domänen wie Graph-Datenbanken.

Zusammenfassend stellt das Paper einen rigorosen, formal fundierten und praktisch validierten Rahmen zur Sicherung von Graph-APIs gegen Zugriffskontrollfehler dar, der die Lücke zwischen theoretischer Graph-Transformation und praktischer API-Sicherheit schließt.