FixVibe
Covered by FixVibehigh

Supabase Təhlükəsizlik Yoxlama Siyahısı: RLS, API Açarlar və Yaddaş

Bu tədqiqat məqaləsi Supabase layihələri üçün kritik təhlükəsizlik konfiqurasiyalarını təsvir edir. O, verilənlər bazası sətirlərini qorumaq üçün Sıra Səviyyəsi Təhlükəsizliyinin (RLS) düzgün həyata keçirilməsinə, anon və service_role API açarlarının təhlükəsiz idarə edilməsinə və məlumatlara məruz qalma və icazəsiz giriş risklərini azaltmaq üçün yaddaş qutuları üçün giriş nəzarətinin tətbiqinə diqqət yetirir.

CWE-284CWE-668

Qarmaq

Supabase layihəsinin təhlükəsizliyini təmin etmək API açar idarəçiliyinə, verilənlər bazası təhlükəsizliyinə və saxlama icazələrinə diqqət yetirən çoxqatlı yanaşma tələb edir. [S1] Səhv konfiqurasiya edilmiş Səviyyə Səviyyəsi Təhlükəsizliyi (RLS) və ya açıqlanmış həssas açarlar əhəmiyyətli məlumat ifşası insidentlərinə səbəb ola bilər. [S2] [S3]

Nə dəyişdi

Bu tədqiqat rəsmi memarlıq qaydalarına əsaslanan Supabase mühitləri üçün əsas təhlükəsizlik nəzarətlərini birləşdirir. [S1] O, defolt inkişaf konfiqurasiyalarından istehsalla bərkidilmiş duruşlara keçidə, xüsusən də girişə nəzarət mexanizmlərinə diqqət yetirir. [S2] [S3]

Kim təsirlənir

Supabase-dən bir xidmət kimi istifadə edən proqramlar (BaaS) təsirə məruz qalır, xüsusən də istifadəçiyə məxsus məlumatları və ya şəxsi aktivləri idarə edən proqramlar. [S2] service_role açarını müştəri tərəfi paketlərinə daxil edən və ya RLS-ni aktivləşdirə bilməyən tərtibatçılar yüksək risk altındadırlar. [S1]

Problem necə işləyir

Supabase verilənlərə girişi məhdudlaşdırmaq üçün PostgreSQL-in Row Level Security-dən istifadə edir. [S2] Defolt olaraq, əgər RLS masada aktiv deyilsə, anon açarı olan istənilən istifadəçi (çox vaxt açıqdır) bütün qeydlərə daxil ola bilər. [S1] Eynilə, Supabase Yaddaş hansı istifadəçilərin və ya rolların fayl qutularında əməliyyatlar həyata keçirə biləcəyini müəyyən etmək üçün açıq siyasət tələb edir. [S3]

Təcavüzkar nə əldə edir

İctimai API açarına malik olan təcavüzkar, digər istifadəçilərə məxsus məlumatları oxumaq, dəyişdirmək və ya silmək üçün RLS çatışmayan cədvəllərdən istifadə edə bilər. [S1] [S2] Saxlama qutularına icazəsiz giriş şəxsi istifadəçi fayllarının ifşasına və ya kritik tətbiq aktivlərinin silinməsinə səbəb ola bilər. [S3]

FixVibe bunu necə sınaqdan keçirir

FixVibe indi bunu Supabase yoxlamalarının bir hissəsi kimi əhatə edir. baas.supabase-security-checklist-backfill ictimai Supabase Yaddaş qutusu metadatasını, anonim obyekt siyahısına məruz qalmanı, həssas kovanın adlandırılmasını və ictimai anon sərhədindən anon-bağlı Yaddaş siqnallarını nəzərdən keçirir. Əlaqədar canlı yoxlamalar xidmət-rol açarı ifşasını, Supabase REST/RLS duruşunu və çatışmayan RLS üçün depo SQL miqrasiyasını yoxlayır.

Nə düzəltmək lazımdır

Həmişə verilənlər bazası cədvəllərində Row Level Security-ni aktivləşdirin və autentifikasiya edilmiş istifadəçilər üçün ətraflı siyasətlər tətbiq edin. [S2] Müştəri kodunda yalnız 'anon' açarının istifadə edildiyini, 'service_role' açarının isə serverdə qaldığından əmin olun. [S1] Fayl vedrələrinin defolt olaraq özəl olmasını və girişin yalnız müəyyən edilmiş təhlükəsizlik siyasətləri vasitəsilə verilməsini təmin etmək üçün Yaddaşa Giriş Nəzarətini konfiqurasiya edin. [S3]