FixVibe
Covered by FixVibehigh

Supabase Lista di cuntrollu di sicurezza: RLS, API Chjavi, è Storage

Questu articulu di ricerca delinea cunfigurazioni di sicurezza critiche per i prughjetti Supabase. Si focalizeghja nantu à l'implementazione curretta di Row Level Security (RLS) per prutege e file di basa di dati, gestione sicura di e chjave anon è service_role API, è rinfurzà u cuntrollu di l'accessu per i buckets di almacenamiento per mitigà i risichi di l'esposizione di dati è l'accessu micca autorizatu.

CWE-284CWE-668

U ganciu

A securità di un prughjettu Supabase richiede un approcciu multi-stratificatu cuncintratu nantu à a gestione di chjave API, a sicurità di a basa di dati è i permessi di almacenamento. [S1] Seguretat di Livellu di fila cunfigurata inappropriatamente (RLS) o chjavi sensibili esposti ponu purtà à incidenti significativi di esposizione di dati. [S2] [S3]

Ciò chì hà cambiatu

Questa ricerca cunsolida i cuntrolli di sicurità core per l'ambienti Supabase basati nantu à e linee guida ufficiali di l'architettura. [S1] Si focalizeghja nantu à a transizione da e cunfigurazioni di sviluppu predeterminate à posture indurite da a produzzione, in particulare in quantu à i miccanismi di cuntrollu di l'accessu. [S2] [S3]

Quale hè affettatu

L'applicazioni chì utilizanu Supabase cum'è Backend-as-a-Service (BaaS) sò affettati, in particulare quelli chì trattanu dati specifichi di l'utilizatori o assi privati. [S2] I sviluppatori chì includenu a chjave service_role in pacchetti di u cliente o fallenu per attivà RLS sò in altu risicu. [S1]

Cumu funziona u prublema

Supabase sfrutta a Sicurezza di Livellu di Fila di PostgreSQL per restringe l'accessu à i dati. [S2] Per automaticamente, se RLS ùn hè micca attivatu nantu à una tavula, qualsiasi utilizatore cù a chjave anon - chì hè spessu publica - pò accede à tutti i registri. [S1] In modu simile, Supabase Storage richiede politiche esplicite per definisce quale utilizatori o roli ponu fà operazioni nantu à i buckets di file. [S3]

Ciò chì un attaccante riceve

Un attaccu chì pussede una chjave publica API pò sfruttà e tavule chì mancanu RLS per leghje, mudificà o sguassà dati chì appartenenu à altri utilizatori. [S1] [S2] L'accessu micca autorizatu à i buckets d'almacenamiento pò purtà à l'esposizione di i fugliali di l'utilizatori privati ​​o l'eliminazione di l'assi critichi di l'applicazione. [S3]

Cumu FixVibe prova per questu

FixVibe avà copre questu cum'è parte di i so cuntrolli Supabase. baas.supabase-security-checklist-backfill rivisione publicamente Supabase Metadati di bucket d'archiviazione, esposizione anonima di lista d'ogetti, denominazione di bucket sensibile, è segnali di Storage anon-bound da u cunfini publicu. I cuntrolli in diretta correlati inspeccionanu l'esposizione di chjave di u rolu di serviziu, a postura Supabase REST/RLS, è e migrazioni SQL di repository per a mancanza di RLS.

Cosa da riparà

Sempre attivate a Seguretat di Livellu di Fila nantu à e tabelle di basa di dati è implementate pulitiche granulari per l'utilizatori autenticati. [S2] Assicuratevi chì solu a chjave "anon" hè aduprata in u codice di u cliente, mentre chì a chjave "service_role" ferma nantu à u servitore. [S1] Configurate u cuntrollu di l'accessu à l'almacenamiento per assicurà chì i buckets di i fugliali sò privati ​​​​per default è l'accessu hè garantitu solu per e pulitiche di sicurezza definite. [S3]