// docs / baas security
Бяспека BaaS
Платформы Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — кіруюць тымі часткамі праграмы, да якіх ШІ-інструменты для кадавання ставяцца найменш акуратна: бяспека на ўзроўні радкоў, правілы сховішча, канфігурацыя пастаўшчыка ідэнтыфікацыі і тое, якія ключы трапляюць у браўзер. Гэты раздзел — гэта мэтавая бібліятэка артыкулаў пра тое, як гэтыя няправільныя налады насамрэч выглядаюць у прадакшэне і як іх знайсці і выправіць. Кожны артыкул заканчваецца сканаваннем вашага ўласнага разгортвання адным націскам.
// сканер supabase rls
Сканер Supabase RLS: знайдзіце табліцы з адсутнай або зламанай бяспекай на ўзроўні радкоў
Што можа даказаць пасіўнае сканаванне RLS звонку базы дадзеных, чатыры формы зламанага RLS, якія ШІ-інструменты кадавання генеруюць па змаўчанні, як працуе праверка FixVibe
baas.supabase-rls, і дакладны SQL для прымянення, калі адсутная палітыка знойдзена.Сканаваць вашу праграму на адсутнасць RLS →
// раскрыццё ключа сэрвіснай ролі
Ключ сэрвіснай ролі Supabase, раскрыты ў JavaScript
Што такое ключ сэрвіснай ролі, чаму ён ніколі не павінен жыць у браўзеры, і тры спосабы, якімі ШІ-інструменты кадавання выпадкова адпраўляюць яго ў прадакшэн. Уключае форму JWT, якая ідэнтыфікуе ўцеклы ключ, рэгламент неадкладнай рэакцыі і тое, як сканаванне бандла FixVibe яго выяўляе.
Праверыць, ці трапілі сакрэты ў ваш бандл →
// узмацненне сховішча
Кантрольны спіс бяспекі сховішча Supabase
Мэтавы кантрольны спіс з 22 пунктаў для ўзмацнення Supabase Storage — бачнасць сховішча, палітыкі RLS на табліцы
objects, праверка MIME-тыпу, апрацоўка падпісаных URL, меры супраць пералічэння і эксплуатацыйная гігіена. Кожны пункт можна выканаць за 5-15 хвілін.Сканаваць публічныя сховішчы і anon-пералічальнае сховішча →
// сканер правіл firebase
Сканер правіл Firebase: знайдзіце адкрытыя правілы Firestore, Realtime Database і Storage
Як працуе сканер правіл Firebase звонку, шаблоны тэставага рэжыму, якія генеруюць ШІ-інструменты, тры сэрвісы Firebase, кожны з якіх патрабуе свайго аўдыту правіл (Firestore, Realtime Database, Storage), і што можа даказаць сканаванне без уліковых дадзеных.
Праверыць адкрытыя правілы чытання/запісу →
// тлумачальнік сінтаксісу правіл
Firebase allow read, write: if true растлумачана
Што насамрэч робіць правіла
allow read, write: if true;, чаму Firebase пастаўляе яго як значэнне па змаўчанні тэставага рэжыму, дакладныя паводзіны, якія бачыць зламыснік, і чатыры спосабы замяніць яго правілам, бяспечным для прадакшэна. Уключае запыт аўдыту для капіявання-устаўкі і пяціэтапны план выпраўлення.Сканаваць ваш прадукцыйны URL →
// узмацненне clerk
Кантрольны спіс бяспекі Clerk
Кантрольны спіс з 20 пунктаў для ўзмацнення інтэграцыі Clerk — гігіена ключоў асяроддзя, налады сесіі, праверка вэбхукаў, дазволы арганізацыі, абмежаванне JWT-шаблонаў і эксплуатацыйны маніторынг. Прэлаўнч і пастаянныя пункты, згрупаваныя па вобласці.
Праверыць няправільныя налады аўтэнтыфікацыі/сесіі →
// узмацненне auth0
Кантрольны спіс бяспекі Auth0
Аўдыт Auth0 з 22 пунктаў, які ахоплівае тып праграмы і гранты, спісы дазволу callback / logout URL, ратацыю refresh-токенаў, бяспеку карыстальніцкіх дзеянняў, RBAC і рэсурсныя серверы, выяўленне анамалій і маніторынг логаў арандатара. Ловіць пункты, якія ШІ-згенераваныя SaaS-праграмы пастаянна прапускаюць.
Праверыць раскрыццё пастаўшчыка ідэнтыфікацыі →
// зонтычны сканер
Сканер няправільных налад BaaS: знайдзіце публічныя шляхі да дадзеных у Supabase, Firebase, Clerk і Auth0
Чаму пастаўшчыкі BaaS правальваюць бяспеку ў той самай форме, пяць класаў няправільных налад, якія патрабуюць аўдыту ў кожнай BaaS-падтрыманай праграме, як працуе зонтычнае сканаванне BaaS FixVibe па ўсіх чатырох пастаўшчыках, параўнанне таго, што можа даказаць кожны сканер, і сумленнае параўнанне з Burp, ZAP і SAST-інструментамі.
Знайдзіце публічныя шляхі да дадзеных раней за карыстальнікаў →
Што далей
Па меры пашырэння ахопу рухавіка сканавання FixVibe тут з'яўляюцца новыя артыкулы, прысвечаныя BaaS. Журнал змен рухавіка сканавання фіксуе кожнае новае выяўленне — падпішыцеся, каб атрымліваць актуальны рэестр таго, што FixVibe цяпер можа даказаць звонку.