标签： API未授权

2023年4月的某一天，腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的，也就是最大的风险敞口，需要重点排查。 Leo下载APP进行测试后，发现该医院存在一个严重的问题，可能导致百万级敏感数据泄露…… 他发现医院APP存在GraphQL接口，可通过其自省功能获取所有API接口。 GraphQL是目前最为流行的查询语言之一，它能够让API变得轻...