FixVibe

// docs / baas security / umbrella scanner

BaaS-wankonfigurasieskandeerder: vind openbare datapaaie voordat gebruikers dit doen

Backend-as-a-Service-verskaffers — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — almal misluk sekuriteit in dieselfde vorm: die platform stuur sinvolle versteke, die ontwikkelaar (of die KI-koderingsgereedskap) reik na 'n kortpad, en 'n openbare pad gaan oop tussen 'n ongeautentiseerde aanvaller en klantedata. 'n BaaS-wankonfigurasieskandeerder is die enigste gereedskap wat daardie pad van buite ondersoek soos 'n aanvaller sou. Hierdie artikel karteer die vyf herhalende wankonfigurasie-klasse, verduidelik hoe die FixVibe sambreel BaaS-skandering werk, vergelyk die vier hoof-verskaffers, en kontrasteer die BaaS-bewuste skandeerder teen algemene DAST-gereedskap.

Waarom BaaS-wankonfigurasies 'n herhalende vorm het

Elke BaaS-platform volg dieselfde argitektuur: 'n bestuurde backend met 'n dun kliënt-SDK wat van die blaaier af daarmee praat. Die blaaier-gerigte kliënt benodig een of ander geloofsbrief — 'n anon-sleutel, 'n publiseerbare sleutel, 'n Firebase-projek-ID — om homself by die backend te identifiseer. Daardie geloofsbrief is doelbewus openbaar; die veiligheid van die argitektuur rus op platform-vlak toegangsbeheer (RLS, reëls, toelaatlyste) wat hul werk doen.

KI-koderingsgereedskap bou bo-op hierdie argitektuur sonder om die platform-beheer-laag te internaliseer. Hulle bedraad die kliënt-SDK korrek, aanvaar die platform se verstek toegeeflike reëls (wat bestaan vir tutoriaal-vriendelikheid), en stuur. Die herhalende vorm is: openbare geloofsbrief + toegeeflike verstek-reël + ontbrekende oortrede = data-blootstelling. Die vyf wankonfigurasie-klasse hieronder is almal variante van hierdie vorm.

Die vyf herhalende wankonfigurasie-klasse

Hierdie verskyn oor elke BaaS-verskaffer. 'n Volledige skandering dek al vyf teen elke verskaffer in gebruik:

Klas 1: Verkeerde sleutel in die blaaier-bundel

Die blaaier stuur die geheim-/admin-sleutel (Supabase service_role, Firebase Admin-SDK privaat sleutel, Clerk sk_*, Auth0-kliënt-geheim) in plaas van die openbare/anon-ekwivalent. Die blaaier word 'n onbeperkte admin-kliënt. Gedek deur FixVibe se bundel-geheime-toets.

Klas 2: Toegangsbeheer-laag gedeaktiveer of toegeeflik

RLS is af, Firebase-reëls is if true, die Auth0-terugroeplys is met jokertekens. Die geloofsbrief in die blaaier is die korrekte een — maar die platform-vlak-grens wat dit moes beperk, doen sy werk nie.

Klas 3: Anonieme leesoperasies van sensitiewe hulpbronne

Anon-leesbare Firestore-versamelings, anon-lysbare Supabase-stoorbakke, anon-toeganklike Auth0-bestuur-API. Die skandering vra: "met geen geloofsbriewe nie, wat kan ek lees?"

Klas 4: Toets-modus-artefakte in produksie

Toets-sleutels (pk_test_*, sb_test_*) in 'n produksie-ontplooiing; dev-modus Firebase-toepassings bereikbaar vanaf die lewende domein; toets-huurder Auth0-toepassings met swakker instellings as produksie. Die skandering vergelyk die looptyd-sleutels teen die verwagte produksie-voorvoegsels.

Klas 5: Webhook-handtekening-verifikasie ontbreek

Clerk-webhooks, Stripe-webhooks, Supabase-webhooks teken almal hul payloads. 'n Hanteerder wat nie die handtekening verifieer nie, is 'n databasis-skryf-primitief vir enige aanvaller wat die URL raai. Opgespoor via antwoordvorm — 'n ongetekende versoek wat 'n 200 kry, beteken verifikasie word oorgeslaan.

Hoe die FixVibe sambreel BaaS-skandering werk

FixVibe se BaaS-fase loop in drie fases, elk wat duidelike bevindings produseer:

  1. <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
  2. Fase 2 — verskaffer-spesifieke ondersoeke. Vir elke opgespoorde verskaffer loop die skandeerder die verskaffer-spesifieke toets: baas.supabase-rls ondersoek PostgREST; baas.firebase-rules ondersoek Firestore + RTDB + Stoor; baas.clerk-auth0 valideer die voorvoegsel van gebundelde sleutels; die bundel-geheime-toets valideer dat geen diens-vlak geloofsbriewe gelek het nie. Elke ondersoek loop onafhanklik — 'n Supabase-bevinding blokkeer nie die Firebase-skandering nie.
  3. Fase 3 — kruis-verskaffer-korrelasie. Die skandeerder kruisverwys bevindings. 'n Gelekde Supabase-diens-rol-sleutel saam met ontbrekende RLS is meer ernstig as enige van die bevindings alleen — die verslag bring dit aan die lig. Veelvuldige identiteitsverskaffers (Clerk + Auth0 + pasgemaakte auth) in dieselfde toepassing is 'n strukturele bevinding wat vir oorsig gemerk word.

Elke ondersoek is passief: hoogstens een anonieme leesoperasie per hulpbron, met antwoordvorm aangeteken maar ry-inhoud nooit gepaginate of gestoor nie. Skryf- en wysig-ondersoeke is agter geverifieerde domein-eienaarskap verskuil — hulle loop nooit teen ongeverifieerde teikens nie.

Wat die skandeerder per verskaffer vind

Elke BaaS-verskaffer het 'n ander oppervlak en 'n ander skandeerstrategie. Hier is wat gedek word:

  • Supabase: ontbrekende RLS op tabelle, anon-lysbare stoorbakke, gelekde service_role-JWT of sb_secret_*-sleutel in die bundel, blootgestelde skemas via anonieme OpenAPI-lysing. Sien Supabase RLS-skandeerder en Stoorbak-kontrolelys.
  • Firebase: if true-reëls op Firestore, Realtime Database en Cloud Storage; anon-lysbare Stoorbakke; ontbrekende App Check-afdwinging. Sien Firebase-reëls-skandeerder en If-true-reël-verduideliker.
  • Clerk: gebundelde sk_*-geheime sleutels, pk_test_* in produksie, ontbrekende webhook-handtekening-verifikasie, jokerteken-toegelate-oorspronge. Sien Clerk-kontrolelys.
  • Auth0: gebundelde kliënt-geheime, Implisiete toekenning geaktiveer, jokerteken-terugroep-/uitteken-URL's, ontbrekende PKCE op SPA's. Sien Auth0-kontrolelys.

Hoe 'n BaaS-skandeerder met algemene DAST- en SAST-gereedskap vergelyk

'n BaaS-bewuste skandeerder doen spesifieke werk wat ander gereedskap nie doen nie. Die vergelyking:

AspekFixVibe (BaaS-bewuste DAST)Algemene DAST (Burp / ZAP)SAST / SCA (Snyk / Semgrep)
BaaS-dekkingInheemse toetse vir Supabase, Firebase, Clerk, Auth0, AppwriteGeneriese web-kruip; geen verskaffer-spesifieke ondersoeke nieStatiese analise van bewaarplek alleen; geen produksie-validasie nie
OpstellingstydURL → hardloop → resultate in 60 sekondesUre: konfigureer spinnekop, auth, bereikDag: integreer in bewaarplek-CI
Wat dit bewysProduksie-looptyd-blootstelling met HTTP-vlak-bewyseWeb-toepassing-kwesbaarhede (XSS, SQLi); BaaS via handmatige konfigKodepatrone wat dalk wel of nie ontplooi nie
JavaScript-bundel-inspeksieDekodeer JWT's, pas geheime-voorvoegsels, loop deur stukkeBeperk — slegs string-gebaseerde grepJa, maar slegs bewaarplek-kant, nie ontplooi nie
Deurlopende skanderingMaandeliks / op-ontplooi via API + MCPHandmatig; konfigureer skedule selfPer-commit (goed vir kode, blind vir looptyd)
Prys vir solo / klein spanGratis vlak; betaal vanaf $19/mndBurp Pro $499/jr; ZAP gratis maar hoë vals-positiewesSnyk gratis / Semgrep gratis; betaalde vlakke vanaf $25/dev

Eerlike omvang: wat hierdie skandeerder nie vervang nie

'n BaaS-bewuste DAST-skandeerder is 'n gefokusde gereedskap, nie 'n volledige sekuriteitsprogram nie. Dit doen nie:

  • Vervang SAST of SCA. Statiese analise vind afhanklikheid-CVE's (Snyk, Semgrep) en kode-vlak-kwesbaarhede (SonarQube) wat 'n DAST-skandeerder nie kan nie. Hardloop beide.
  • Vervang handmatige penetrasietoetsing. 'n Menslike pentoetser vind besigheidslogika-foute, outorisasie-randgevalle, en geketende kwesbaarhede wat geen skandeerder kan nie. Huur 'n pentoetser voor 'n groot lansering of nakomingsoudit.
  • Oudit jou kode of bewaarplek vir geheime in git-geskiedenis. Die bundel-geheime-toets dek wat tans ontplooi is, nie wat histories gecommit is nie. Gebruik git-secrets of gitleaks vir bewaarplek-higiëne.
  • Dek nie-BaaS backend-dienste. As jou toepassing 'n pasgemaakte backend gebruik (Express, Rails, Django, FastAPI), skandeer FixVibe sy HTTP-oppervlak maar ondersoek nie die databasis of infrastruktuur daaragter nie. Dit is algemene DAST- + SAST-gebied.

Algemene vrae

Werk die sambreel-skandering as my toepassing twee BaaS-verskaffers gebruik (bv. Supabase + Clerk)?

Ja — verskaffer-vingerafdrukke en per-verskaffer-ondersoeke is onafhanklik. Die skandeerder spoor beide op, loop beide toets-suites, en rapporteer kruis-verskaffer-korrelasies (bv. 'n Supabase JWT-sjabloon van Clerk wat email as 'n aanspraak stuur saam met ontbrekende RLS).

Hoe is dit anders as om Burp Suite Pro teen my toepassing te hardloop?

Burp is 'n algemene DAST-werkbank. Uit die boks weet Burp nie wat PostgREST, Firestore of die Auth0-terugroep-pad is nie — jy moet bereik handmatig konfigureer, uitbreidings skryf, en antwoorde interpreteer. FixVibe stuur met ingeboude BaaS-ondersoeke en BaaS-vormige bewysformatering. Burp wen op algemene web-toepassings-dekking (XSS, SQLi, besigheidslogika); FixVibe wen op BaaS-spesifieke bevindings.

Wat van App Check (Firebase) of attestasie (Apple / Google)?

App Check laat opportunistiese eksterne skanderings 403 op elke ondersoek teruggee — die korrekte uitkoms vir 'n kwaadwillige bot. 'n FixVibe-skandering vanaf 'n nie-geattesteerde kliënt gedra dieselfde. As jy App Check geaktiveer het en FixVibe steeds bevindings rapporteer, beteken dit jou reëls is ook oop vir geattesteerde kliënte, wat die werklike risiko is. App Check + korrekte reëls is die verdediging-in-diepte-patroon.

Kan die skandeerder my regstelling verifieer?

Ja — hardloop weer na regstelling. Die toets-ID's (bv. baas.supabase-rls) is stabiel oor uitvoerings, so jy kan bevindings vergelyk: 'n bevinding wat in uitvoering 1 open was en in uitvoering 2 afwesig is, is bewys dat die regstelling geland het.

Volgende stappe

Voer 'n gratis FixVibe-skandering teen jou produksie-URL uit — die BaaS-fase-toetse stuur op elke plan, insluitend die gratis vlak. Vir verskaffer-spesifieke diep-duike, dek die individuele artikels in hierdie afdeling elke verskaffer in detail: Supabase RLS, Supabase-diens-sleutel-blootstelling, Supabase-stoor, Firebase-reëls, Firebase if-true, Clerk en Auth0.

// skandeer jou baas-oppervlak

Vind die oop tabel voordat iemand anders dit doen.

Plak 'n produksie-URL in. FixVibe identifiseer die BaaS-verskaffers waarmee jou toepassing kommunikeer, neem vingerafdrukke van hul openbare eindpunte en rapporteer wat 'n ongeautentiseerde kliënt kan lees of skryf. Gratis, geen installasie nie, geen kaart nie.

  • Gratis vlak — 3 skanderings / maand, geen aansluitkaart nie.
  • Passiewe BaaS-vingerafdrukke — geen domeinverifikasie nodig nie.
  • Supabase, Firebase, Clerk, Auth0, Appwrite en meer.
  • KI-regstellingsaanwysings by elke bevinding — plak terug in Cursor / Claude Code.
Voer 'n gratis BaaS-skandering uit

geen aansluiting nodig nie

BaaS-wankonfigurasieskandeerder: vind openbare datapaaie voordat gebruikers dit doen — Docs · FixVibe