// docs / baas security
أمان BaaS
منصات Backend-as-a-Service — Supabase وFirebase وClerk وAuth0 — تتولى الأجزاء من التطبيق التي تتعامل معها أدوات البرمجة بالذكاء الاصطناعي بأقل قدر من الحذر: أمان مستوى الصف، وقواعد التخزين، وتكوين موفّر الهوية، وأي المفاتيح تُشحن إلى المتصفح. هذا القسم مكتبة مركّزة من المقالات حول الشكل الفعلي لتلك التهيئات الخاطئة في الإنتاج وكيفية إيجادها وإصلاحها. ينتهي كل مقال بمسح بنقرة واحدة على نشرك الخاص.
// ماسح supabase rls
ماسح Supabase RLS: ابحث عن الجداول التي تفتقر إلى أمان مستوى الصف أو يعاني من خلل
ما الذي يمكن لمسح RLS سلبي أن يثبته من خارج قاعدة البيانات، والأشكال الأربعة لـ RLS المعطّل التي تُنتجها أدوات البرمجة بالذكاء الاصطناعي افتراضيًا، وكيف يعمل فحص
baas.supabase-rlsفي FixVibe، وكود SQL الدقيق الواجب تطبيقه عند العثور على سياسة مفقودة.افحص تطبيقك للكشف عن نقص RLS →
// كشف مفتاح service role
مفتاح Supabase service role المكشوف في JavaScript
ما هو مفتاح service role، ولماذا يجب ألا يعيش أبدًا في المتصفح، والطرق الثلاث التي تشحنه بها أدوات البرمجة بالذكاء الاصطناعي إلى الإنتاج بالخطأ. يتضمن شكل JWT الذي يُعرِّف مفتاحًا مُسرَّبًا، ودليل استجابة فوري، وكيف يلتقطه مسح حزمة FixVibe.
تحقق مما إذا كانت الأسرار قد شُحنت في حزمتك →
// تحصين التخزين
قائمة التحقق لأمان دلاء Supabase Storage
قائمة تحقق مركَّزة من 22 بندًا لتحصين Supabase Storage — رؤية الدلاء، وسياسات RLS على جدول
objects، والتحقق من نوع MIME، والتعامل مع عناوين URL الموقَّعة، وتدابير مكافحة التعداد، والنظافة التشغيلية. كل بند يمكنك إنهاؤه في 5-15 دقيقة.افحص الدلاء العامة والتخزين القابل للقائمة المجهولة →
// ماسح قواعد firebase
ماسح قواعد Firebase: ابحث عن قواعد Firestore وRealtime Database وStorage المفتوحة
كيف يعمل ماسح قواعد Firebase من الخارج، وأنماط الوضع التجريبي التي تُولِّدها أدوات الذكاء الاصطناعي، وخدمات Firebase الثلاث التي تحتاج كل منها لمراجعة قواعد خاصة بها (Firestore وRealtime Database وStorage)، وما يستطيع المسح إثباته دون بيانات اعتماد.
تحقق من قواعد القراءة/الكتابة المفتوحة →
// شرح بنية القواعد
Firebase allow read, write: if true مشروحًا
ما تفعله قاعدة
allow read, write: if true;فعلًا، ولماذا يُصدِرها Firebase كافتراضي للوضع التجريبي، والسلوك الدقيق الذي يراه المهاجم، والطرق الأربع لاستبدالها بقاعدة آمنة للإنتاج. يتضمن استعلام مراجعة جاهز للنسخ ولصق وخطة معالجة من خمس خطوات.افحص عنوان URL الإنتاج →
// تحصين clerk
قائمة التحقق لأمان Clerk
قائمة تحقق من 20 بندًا لتحصين تكامل Clerk — نظافة مفاتيح البيئة، وإعدادات الجلسة، والتحقق من webhook، وأذونات المؤسسة، وحصر قوالب JWT، والمراقبة التشغيلية. عناصر ما قبل الإطلاق والمستمرة مجمَّعة حسب المجال.
تحقق من تهيئات المصادقة/الجلسة الخاطئة →
// تحصين auth0
قائمة التحقق لأمان Auth0
مراجعة Auth0 من 22 بندًا تغطي نوع التطبيق والمنح، وقوائم سماح عناوين URL لـ callback / logout، وتدوير الرموز المحدَّثة، وأمان الإجراءات المخصصة، وRBAC وخوادم الموارد، واكتشاف الشذوذ، ومراقبة سجلات المستأجر. تلتقط البنود التي تفوتها تطبيقات SaaS المُولَّدة بالذكاء الاصطناعي باستمرار.
تحقق من كشف موفِّر الهوية →
// ماسح شامل
ماسح التهيئة الخاطئة لـ BaaS: ابحث عن مسارات البيانات العامة عبر Supabase وFirebase وClerk وAuth0
لماذا تفشل موفِّرات BaaS أمنيًا بنفس الشكل، وفئات التهيئة الخاطئة الخمس التي يحتاج كل تطبيق مدعوم بـ BaaS لمراجعتها، وكيف يعمل مسح FixVibe الشامل لـ BaaS عبر الموفِّرين الأربعة، والمقارنة جنبًا إلى جنب لما يستطيع كل ماسح إثباته، ومقارنة صادقة بـ Burp وZAP وأدوات SAST.
اعثر على مسارات البيانات العامة قبل المستخدمين →
ما القادم
ستظهر هنا المزيد من المقالات الموجَّهة لـ BaaS كلما توسعت تغطية محرك مسح FixVibe. يُسجِّل سجل التغييرات لمحرك المسح كل اكتشاف جديد — اشترك فيه للاطلاع على السجل المتواصل لما يستطيع FixVibe إثباته الآن من الخارج.