// docs / baas security
BaaS təhlükəsizliyi
Backend-as-a-Service platformaları — Supabase, Firebase, Clerk, Auth0 — tətbiqin AI kodlaşdırma alətlərinin ən az diqqətlə yanaşdığı hissələrini idarə edir: sətir səviyyəsində təhlükəsizlik, storage qaydaları, identifikasiya provayderi konfiqurasiyası və hansı açarların brauzerə göndərildiyi. Bu bölmə, həmin səhv konfiqurasiyaların produksiyada əslində necə göründüyünə və onları necə tapıb düzəltməyə dair fokuslanmış məqalələr kitabxanasıdır. Hər məqalə öz deployment-ınızın bir kliklə skanlanması ilə yekunlaşır.
// supabase rls skaneri
Supabase RLS skaneri: əskik və ya pozulmuş sətir səviyyəsində təhlükəsizliyi olan cədvəlləri tapın
Verilənlər bazasının xaricindən passiv RLS skanının nə sübut edə bildiyi, AI kodlaşdırma alətlərinin standart olaraq ürətdiyi dörd pozulmuş RLS forması, FixVibe-nin
baas.supabase-rlsyoxlamasının necə işlədiyi və əskik policy tapıldıqda tətbiq olunacaq dəqiq SQL.Tətbiqinizi əskik RLS üçün skanlayın →
// service role açar ifşası
JavaScript-də ifşa olunmuş Supabase service role açarı
Service role açarının nə olduğu, niyə heç vaxt brauzerdə yaşamamalı olduğu və AI kodlaşdırma alətlərinin onu produksiyaya təsadüfən göndərdiyi üç yol. Sızdırılan açarı tanıdan JWT forması, dərhal cavab runbook-u və FixVibe bundle skanının onu necə tutduğu daxildir.
Sirrlərin bundle-də göndərildiyini yoxlayın →
// storage möhkəmləndirməsi
Supabase storage bucket təhlükəsizlik yoxlama siyahısı
Supabase Storage-i möhkəmləndirmək üçün fokuslanmış 22 maddəlik yoxlama siyahısı — bucket görünürlüyü,
objectscədvəlində RLS policy-ləri, MIME-tipi yoxlaması, signed-URL idarəetməsi, sıralamaya qarşı tədbirlər və əməliyyat gigiyenası. Hər maddə 5-15 dəqiqədə bitirilə bilər.İctimai bucket-ləri və anon-listələnə bilən storage-i skanlayın →
// firebase qaydaları skaneri
Firebase qaydaları skaneri: açıq Firestore, Realtime Database və Storage qaydalarını tapın
Firebase qaydaları skaneri xaricdən necə işləyir, AI alətlərinin yaratdığı test-rejim nümunələri, hər biri öz qayda auditi tələb edən üç Firebase xidməti (Firestore, Realtime Database, Storage) və skanın etimadnamələr olmadan nə sübut edə bildiyi.
Açıq oxuma/yazma qaydalarını yoxlayın →
// qayda sintaksisi izahı
Firebase allow read, write: if true izahı
allow read, write: if true;qaydasının əslində nə etdiyi, Firebase-in onu niyə test-rejim standartı kimi yayımladığı, hücumçunun gördüyü dəqiq davranış və onu produksiyaya təhlükəsiz qayda ilə əvəz etməyin dörd yolu. Kopyala-yapışdır audit sorğusu və beş addımlı düzəliş planı daxildir.Produksiya URL-inizi skanlayın →
// clerk möhkəmləndirməsi
Clerk təhlükəsizlik yoxlama siyahısı
Clerk inteqrasiyasını möhkəmləndirmək üçün 20 maddəlik yoxlama siyahısı — mühit-açar gigiyenası, sessiya parametrləri, webhook doğrulaması, təşkilat icazələri, JWT-şablon əhatəsi və əməliyyat monitorinqi. Sahə üzrə qruplaşdırılmış işə salınmadan əvvəlki və davamlı maddələr.
Auth/sessiya səhv konfiqurasiyalarını yoxlayın →
// auth0 möhkəmləndirməsi
Auth0 təhlükəsizlik yoxlama siyahısı
Tətbiq tipi və qrant-lar, callback / çıxış URL allowlist-ləri, refresh-token rotasiyası, xüsusi-əməliyyat təhlükəsizliyi, RBAC və resurs serverləri, anomaliya aşkarlama və kirayəçi log monitorinqini əhatə edən 22 maddəlik Auth0 audit-i. AI tərəfindən yaradılmış SaaS tətbiqlərinin ardıcıl olaraq qaçırdığı maddələri tutur.
Identifikasiya provayderi ifşasını yoxlayın →
// ümumi skaner
BaaS səhv konfiqurasiya skaneri: Supabase, Firebase, Clerk və Auth0 üzrə ictimai məlumat yollarını tapın
BaaS provayderlərinin niyə eyni formada təhlükəsizlikdə uğursuz olduğu, BaaS əsaslı hər tətbiqin audit etməli olduğu beş səhv konfiqurasiya sinifi, hər dörd provayderdə ümumi FixVibe BaaS skanının necə işlədiyi, hər skanerin nə sübut edə biləcəyinin yan-yana müqayisəsi və Burp, ZAP və SAST alətləri ilə dürüst müqayisə.
İstifadəçilərdən əvvəl ictimai məlumat yollarını tapın →
Sırada nə var
FixVibe skan mühərriki əhatəsini genişləndirdikcə daha çox BaaS-yönümlü məqalə burada yer alacaq. Skan mühərriki changelog hər yeni aşkarlamanı qeydə alır — FixVibe-nin artıq xaricdən nə sübut edə bildiyinin davamlı qeydi üçün abunə olun.