FixVibe

// docs / baas security / umbrella scanner

Sganiwr cam-gyfluniad BaaS: dod o hyd i lwybrau data cyhoeddus cyn i ddefnyddwyr wneud

Mae darparwyr Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — i gyd yn methu diogelwch yn yr un siâp: mae'r llwyfan yn llongio diofyn synhwyrol, mae'r datblygwr (neu'r offeryn codio AI) yn estyn am lwybr byr, ac mae llwybr cyhoeddus yn agor rhwng ymosodwr heb ei ddilysu a data cwsmer. Sganiwr cam-gyfluniad BaaS yw'r unig offeryn sy'n archwilio'r llwybr hwnnw o'r tu allan yn y ffordd y byddai ymosodwr. Mae'r erthygl hon yn mapio'r pum dosbarth cam-gyfluniad rheolaidd, yn esbonio sut mae sgan BaaS ymbarél FixVibe yn gweithio, yn cymharu'r pedwar prif ddarparwr, ac yn cyferbynnu'r sganiwr sy'n ymwybodol o BaaS yn erbyn offer DAST cyffredinol.

Pam mae gan gam-gyfluniadau BaaS siâp rheolaidd

Mae pob llwyfan BaaS yn dilyn yr un bensaernïaeth: cefn wedi'i reoli gyda SDK cleient tenau sy'n siarad ag ef o'r porwr. Mae angen rhywfaint o gymhwyster ar y cleient sy'n wynebu'r porwr — allwedd anon, allwedd cyhoeddadwy, ID prosiect Firebase — i adnabod ei hun i'r cefn. Mae'r cymhwyster hwnnw'n gyhoeddus yn fwriadol; mae diogelwch y bensaernïaeth yn dibynnu ar reolaethau mynediad ar lefel llwyfan (RLS, rheolau, rhestrau caniatáu) yn gwneud eu gwaith.

Mae offer codio AI yn adeiladu ar ben y bensaernïaeth hon heb fewnoli'r haen rheolaethau llwyfan. Maent yn gwifrio'r SDK cleient yn gywir, yn derbyn rheolau caniataol diofyn y llwyfan (sy'n bodoli ar gyfer hwylustod tiwtorial), ac yn llongio. Y siâp rheolaidd yw: cymhwyster cyhoeddus + rheol diofyn caniataol + gorbeniad coll = datguddiad data. Mae'r pum dosbarth cam-gyfluniad isod i gyd yn amrywiadau o'r siâp hwn.

Y pum dosbarth cam-gyfluniad rheolaidd

Mae'r rhain yn ymddangos ar draws pob darparwr BaaS. Mae sgan cyflawn yn cwmpasu pob un o'r pump yn erbyn pob darparwr a ddefnyddir:

Dosbarth 1: Allwedd anghywir ym mwndel y porwr

Mae'r porwr yn llongio'r allwedd gyfrinachol/weinyddol (Supabase service_role, allwedd preifat Firebase Admin SDK, Clerk sk_*, cyfrinach cleient Auth0) yn lle'r cyfwerth cyhoeddus/anon. Mae'r porwr yn dod yn gleient gweinyddol diatal. Wedi'i gwmpasu gan wiriad cyfrinachau-bwndel FixVibe.

Dosbarth 2: Haen rheoli mynediad wedi'i analluogi neu'n ganiataol

Mae RLS i ffwrdd, mae rheolau Firebase yn if true, mae rhestr callback Auth0 yn gerdyn gwyllt. Yr allwedd yn y porwr yw'r un gywir — ond nid yw'r ffin lefel-llwyfan a oedd i fod i'w chyfyngu'n gwneud ei gwaith.

Dosbarth 3: Darlleniadau anhysbys o adnoddau sensitif

Casgliadau Firestore sy'n ddarllenadwy gan anon, bwcedi storio Supabase sy'n rhestradwy gan anon, API rheoli Auth0 sy'n hygyrch gan anon. Mae'r sgan yn gofyn: "heb gymwysterau, beth allaf ei ddarllen?"

Dosbarth 4: Arteffactau modd-prawf mewn cynhyrchu

Allweddi prawf (pk_test_*, sb_test_*) mewn lleoliad cynhyrchu; apiau Firebase modd-datblygu sy'n gyrraedd o'r parth byw; apiau Auth0 denantiad-prawf gyda gosodiadau gwannach na chynhyrchu. Mae'r sgan yn cymharu'r allweddi amser-rhedeg yn erbyn y rhagddodiadau cynhyrchu disgwyliedig.

Dosbarth 5: Dilysu llofnod webhook coll

Mae webhooks Clerk, webhooks Stripe, webhooks Supabase i gyd yn llofnodi eu llwythi tâl. Mae trinwr nad yw'n dilysu'r llofnod yn gyntefig ysgrifennu cronfa ddata i unrhyw ymosodwr sy'n dyfalu'r URL. Wedi'i ganfod trwy siâp ymateb — mae cais heb ei lofnodi sy'n cael 200 yn golygu bod dilysu'n cael ei hepgor.

Sut mae sgan BaaS ymbarél FixVibe yn gweithio

Mae cam BaaS FixVibe yn rhedeg mewn tri cham, pob un yn cynhyrchu canfyddiadau penodol:

  1. <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
  2. Cam 2 — archwiliadau penodol-i-ddarparwr. Ar gyfer pob darparwr a ganfuwyd, mae'r sganiwr yn rhedeg y gwiriad penodol i'r darparwr: mae baas.supabase-rls yn archwilio PostgREST; mae baas.firebase-rules yn archwilio Firestore + RTDB + Storage; mae baas.clerk-auth0 yn dilysu rhagddodiad allweddi wedi'u bwndelu; mae'r gwiriad cyfrinachau-bwndel yn dilysu nad oes unrhyw gymwysterau lefel-gwasanaeth wedi gollwng. Mae pob archwiliad yn rhedeg yn annibynnol — nid yw canfyddiad Supabase yn rhwystro sgan Firebase.
  3. Cam 3 — cydberthynas traws-ddarparwr. Mae'r sganiwr yn croesgyfeirio canfyddiadau. Mae allwedd service-role Supabase a gollwyd ynghyd ag RLS coll yn fwy difrifol nag unrhyw ganfyddiad ar ei ben ei hun — mae'r adroddiad yn dwyn hyn i'r wyneb. Mae darparwyr hunaniaeth lluosog (Clerk + Auth0 + auth arferol) yn yr un ap yn ganfyddiad strwythurol wedi'i fflagio i'w adolygu.

Mae pob archwiliad yn oddefol: ar y mwyaf un darlleniad anhysbys fesul adnodd, gyda siâp yr ymateb wedi'i gofnodi ond cynnwys y rhes byth wedi'i dudalennu na'i storio. Mae archwiliadau ysgrifennu ac addasu'n cael eu gosod y tu ôl i ddilysu perchnogaeth parth — nid ydynt byth yn rhedeg yn erbyn targedau heb eu dilysu.

Beth mae'r sganiwr yn ei ganfod fesul darparwr

Mae gan bob darparwr BaaS wyneb gwahanol a strategaeth sgan wahanol. Dyma beth sydd wedi'i gwmpasu:

  • Supabase: RLS coll ar dablau, bwcedi storio sy'n rhestradwy gan anon, JWT service_role neu allwedd sb_secret_* a gollwyd yn y bwndel, sgemau wedi'u datgelu trwy restru OpenAPI anhysbys. Gweler Sganiwr RLS Supabase a Rhestr wirio storio.
  • Firebase: rheolau if true ar Firestore, Realtime Database, a Cloud Storage; bwcedi Storage sy'n rhestradwy gan anon; gorfodaeth App Check coll. Gweler Sganiwr rheolau Firebase ac Esboniwr rheol if-true.
  • Clerk: allweddi cyfrinachol sk_* wedi'u bwndelu, pk_test_* mewn cynhyrchu, dilysu llofnod webhook coll, tarddiadau caniataol cerdyn gwyllt. Gweler Rhestr wirio Clerk.
  • Auth0: cyfrinachau cleient wedi'u bwndelu, grant Implicit wedi'i alluogi, URLs callback / logout cerdyn gwyllt, PKCE coll ar SPAs. Gweler Rhestr wirio Auth0.

Sut mae sganiwr BaaS yn cymharu ag offer DAST a SAST cyffredinol

Mae sganiwr sy'n ymwybodol o BaaS yn gwneud gwaith penodol nad yw offer eraill yn ei wneud. Y gymhariaeth:

AgweddFixVibe (DAST sy'n ymwybodol o BaaS)DAST Cyffredinol (Burp / ZAP)SAST / SCA (Snyk / Semgrep)
Cwmpas BaaSGwiriadau brodorol ar gyfer Supabase, Firebase, Clerk, Auth0, AppwriteCropian gwe generig; dim archwiliadau penodol-i-ddarparwrDadansoddi statig o ystorfa yn unig; dim dilysu cynhyrchu
Amser gosodURL → rhedeg → canlyniadau mewn 60 eiliadOriau: cyfluniad pry copyn, auth, cwmpasDiwrnod: integreiddio i CI ystorfa
Beth mae'n ei brofiDatguddiad amser-rhedeg cynhyrchu gyda thystiolaeth lefel-HTTPBregusrwyddau ap-we (XSS, SQLi); BaaS trwy gyfluniad â llawPatrymau cod a all neu na all leoli
Arolygu bwndel JavaScriptYn datgodio JWTs, yn cyfateb i ragddodiadau cyfrinachol, yn cerdded talpiauCyfyngedig — grep seiliedig ar linyn yn unigYdy, ond ystorfa-yn-unig, nid wedi'i leoli
Sganio parhausMisol / ar-leoli trwy API + MCPÂ llaw; cyfluniad amserlen dy hunFesul ymrwymiad (da i god, dall i amser rhedeg)
Pris ar gyfer unigol / tîm bachHaen am ddim; talu o $19/misBurp Pro $499/blwyddyn; ZAP am ddim ond positifau ffug uchelSnyk am ddim / Semgrep am ddim; haenau talu o $25/datblygwr

Cwmpas onest: yr hyn nad yw'r sganiwr hwn yn ei ddisodli

Mae sganiwr DAST sy'n ymwybodol o BaaS yn offeryn ffocws, nid rhaglen ddiogelwch lawn. Nid yw'n:

  • Disodli SAST neu SCA. Mae dadansoddi statig yn canfod CVEs dibyniaeth (Snyk, Semgrep) a bregusrwyddau lefel-cod (SonarQube) na all sganiwr DAST. Rhedeg y ddau.
  • Disodli profion treiddiad â llaw. Mae pen-profwr dynol yn canfod diffygion rhesymeg busnes, achosion ymyl awdurdodi, a bregusrwyddau wedi'u cadwyno na all unrhyw sganiwr eu gwneud. Llogia ben-profwr cyn lansiad mawr neu archwiliad cydymffurfiaeth.
  • Archwilio dy god neu ystorfa am gyfrinachau yn hanes git. Mae'r gwiriad cyfrinachau-bwndel yn cwmpasu'r hyn sydd wedi'i leoli ar hyn o bryd, nid yr hyn a ymrwymwyd yn hanesyddol. Defnyddia git-secrets neu gitleaks ar gyfer hylendid ystorfa.
  • Cwmpasu gwasanaethau cefn nad ydynt yn BaaS. Os yw dy ap yn defnyddio cefn arferol (Express, Rails, Django, FastAPI), mae FixVibe yn sganio ei wyneb HTTP ond nid yw'n archwilio'r gronfa ddata na'r seilwaith y tu ôl iddo. Mae hynny'n diriogaeth DAST + SAST cyffredinol.

Cwestiynau cyffredin

A yw'r sgan ymbarél yn gweithio os yw fy ap yn defnyddio dau ddarparwr BaaS (e.e., Supabase + Clerk)?

Ydy — mae olrhain darparwr ac archwiliadau fesul darparwr yn annibynnol. Mae'r sganiwr yn canfod y ddau, yn rhedeg y ddau suite gwiriad, ac yn adrodd cydberthnasau traws-ddarparwr (e.e., templed JWT Supabase o Clerk sy'n llongio email fel hawliad ynghyd ag RLS coll).

Sut mae hyn yn wahanol i redeg Burp Suite Pro yn erbyn fy ap?

Mae Burp yn fainc waith DAST cyffredinol. Allan o'r bocs, nid yw Burp yn gwybod beth yw PostgREST, Firestore, na'r llwybr callback Auth0 — rhaid i ti gyfluniad cwmpas â llaw, ysgrifennu estyniadau, a dehongli ymatebion. Mae FixVibe yn llongio gydag archwiliadau BaaS adeiledig a fformatio tystiolaeth siâp-BaaS. Mae Burp yn ennill ar gwmpas ap-we cyffredinol (XSS, SQLi, rhesymeg busnes); mae FixVibe yn ennill ar ganfyddiadau penodol-i-BaaS.

Beth am App Check (Firebase) neu ardystiad (Apple / Google)?

Mae App Check yn gwneud i sganiau allanol cyfleus ddychwelyd 403 ar bob archwiliad — y canlyniad cywir ar gyfer bot maleisus. Mae sgan FixVibe o gleient heb ei ardystio'n ymddwyn yn yr un ffordd. Os oes gennyt App Check wedi'i alluogi ac mae FixVibe'n dal i adrodd canfyddiadau, mae'n golygu bod dy reolau hefyd yn agored i gleientiaid wedi'u hardystio, sef y risg wirioneddol. App Check + rheolau cywir yw'r patrwm amddiffyniad-yn-dyfnder.

A all y sganiwr ddilysu fy nhrwsiad?

Ydy — ail-redeg ar ôl cymhwyso'r trwsiad. Mae'r IDs gwirio (e.e., baas.supabase-rls) yn sefydlog ar draws rhediadau, felly gelli ddiff canfyddiadau: mae canfyddiad a oedd yn open yn rhediad 1 ac yn absennol yn rhediad 2 yn brawf bod y trwsiad wedi glanio.

Camau nesaf

Rheda sgan FixVibe am ddim yn erbyn dy URL cynhyrchu — mae'r gwiriadau cam-BaaS yn llongio ar bob cynllun, gan gynnwys yr haen am ddim. Am ddadansoddiadau dyfnach penodol i ddarparwr, mae'r erthyglau unigol yn yr adran hon yn cwmpasu pob darparwr yn fanwl: RLS Supabase, Datguddiad allwedd-gwasanaeth Supabase, Storio Supabase, Rheolau Firebase, If-true Firebase, Clerk, a Auth0.

// sganio dy wyneb baas

Canfod y tabl agored cyn i rywun arall wneud.

Gollwng URL cynhyrchu i mewn. Mae FixVibe yn rhifo'r darparwyr BaaS y mae dy ap yn siarad â hwy, yn olrhain eu pwyntiau terfyn cyhoeddus, ac yn adrodd ar yr hyn y gall cleient heb ei ddilysu ei ddarllen neu ei ysgrifennu. Am ddim, dim gosod, dim cerdyn.

  • Haen am ddim — 3 sgan / mis, dim cerdyn cofrestru.
  • Olrhain BaaS goddefol — dim angen dilysu parth.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, a mwy.
  • Awgrymiadau trwsio AI ar bob canfyddiad — gludo'n ôl i Cursor / Claude Code.
Rhedeg sgan BaaS am ddim

dim angen cofrestru

Sganiwr cam-gyfluniad BaaS: dod o hyd i lwybrau data cyhoeddus cyn i ddefnyddwyr wneud — Docs · FixVibe