Hackergame 2021-图之上的信息-wp

题目

小 T 听说 GraphQL 是一种特别的 API 设计模式，也是 RESTful API 的有力竞争者，所以他写了个小网站来实验这项技术。
你能通过这个全新的接口，获取到没有公开出来的管理员的邮箱地址吗？

资料

谷歌找到的一篇文章
查所有可用的字段

解题

先guest/guest登陆
然后在/graphql接口中查到需要的email字段

最后查询 {"query":"{ user(id:1) { privateEmail }}"} 即可得到 flag。