Graph Query Language (GraphQL) adalah sebuah bahasa query yang dirancang untuk mengatur interaksi antara klien dan Antarmuka Pemrograman Aplikasi (API). GraphQL diciptakan untuk memudahkan pertukaran data antara backend dan frontend, memberikan deskripsi data yang jelas dan mudah dimengerti. Popularitas GraphQL terus berkembang karena kemampuannya yang efektif dalam mengelola dan mengambil data dari API. Karena GraphQL terus mendapatkan popularitas, kebutuhan akan praktik terbaik keamanan dan alat untuk menguji dan melindungi API GraphQL akan semakin penting. Seperti teknologi lainnya, GraphQL juga memiliki beberapa kelemahan, salah satunya adalah fitur introspection nya dapat mengungkapkan informasi sensitif yang seharusnya tidak terekspos. Oleh karena itu, penelitian ini bertujuan untuk menemukan kerentanan information disclosure vulnerability pada GraphQL API dan mencari waktu yang paling efektif dari dua mode keamanan yang diterapkan yaitu mode sebelum dan setelah herdening. Terdapat dua metode dan dua bantuan tools yang digunakan dalam mengimplementasikannya, yaitu Introspection with InQL dan Field Suggestion with Clairvoyance. Dengan mengombinasikan kedua metode ini, penelitian dapat secara efektif dan efisien mengidentifikasi dan mengeksploitasi kelemahan pada GraphQL API, yang kemudian direpresentasikan secara visual melalui Data Flow Diagram dan Attack Tree untuk memberikan gambaran menyeluruh mengenai jalur eksploitasi dan potensi serangan. Setelah dimplementasikan, didapatkan hasil bahwa metode eksploitasi information disclosure vulnerability yang berhasil dilakukan dan paling efisien sebelum hardening adalah Field Suggestion Method dengan total waktu 7,94s. Waktu paling efisien sebelum dan setelah hardening ternyata sama, yaitu Field Suggestion Method dengan total waktu 8,99s setelah hardening. Dengan demikian, dari hasil perbandingan waktu tersebut, dapat disimpulkan bahwa semakin singkat waktu yang dibutuhkan, maka semakin cepat penyerang memperoleh informasi berbahaya dari GraphQL.
Kata kunci – GraphQL, Information Disclosure Vulnerability, Hardening, Introspection, Field Suggestion Method