FixVibe
Covered by FixVibehigh

Supabase Segurtasun-zerrenda: RLS, API gakoak eta biltegiratzea

Ikerketa-artikulu honek Supabase proiektuetarako segurtasun-konfigurazio kritikoak zehazten ditu. Errenkada-mailako segurtasuna (RLS) behar bezala ezartzean oinarritzen da datu-baseen errenkadak babesteko, anon eta service_role API gakoen kudeaketa segurua eta biltegiratze-ontzietarako sarbide-kontrola betearaztea datuen esposizioaren eta baimenik gabeko sarbidearen arriskuak arintzeko.

CWE-284CWE-668

Amua

Supabase proiektu bat ziurtatzeko geruza anitzeko ikuspegia behar da, API gakoen kudeaketan, datu-basearen segurtasunean eta biltegiratze-baimenetan zentratuta. [S1] Desegoki konfiguratuta dagoen errenkada-mailako segurtasuna (RLS) edo agerian dauden gako sentikorrak datuen esposizio-intzidentzia handiak sor ditzakete. [S2] [S3]

Zer aldatu zen

Ikerketa honek Supabase inguruneetarako oinarrizko segurtasun-kontrolak finkatzen ditu arkitektura-jarraibide ofizialetan oinarrituta. [S1] Garapen-konfigurazio lehenetsietatik produkzioan gogortutako jarreren trantsizioan zentratzen da, bereziki sarbidea kontrolatzeko mekanismoei dagokienez. [S2] [S3]

Nor da kaltetua

Supabase Backend-as-a-Service gisa erabiltzen duten aplikazioek (BaaS) eragiten dute, bereziki erabiltzailearen datu zehatzak edo aktibo pribatuak kudeatzen dituztenak. [S2] service_role gakoa bezeroen aldeko sortetan sartzen duten edo RLS gaitzen ez duten garatzaileek arrisku handia dute. [S1]

Arazoak nola funtzionatzen duen

Supabase-k PostgreSQL-ren Row Level Security aprobetxatzen du datuen sarbidea mugatzeko. [S2] Lehenespenez, mahai batean RLS gaituta ez badago, anon gakoa duen edozein erabiltzailek —askotan publikoa dena— erregistro guztiak atzi ditzake. [S1] Era berean, Supabase Biltegiratzeak politika esplizituak behar ditu fitxategi-ontzietan zein erabiltzaile edo rol egin ditzaketen eragiketak definitzeko. [S3]

Erasotzaileak lortzen duena

API gako publikoa duen erasotzaile batek RLS falta duten taulak ustiatu ditzake beste erabiltzaile batzuen datuak irakurtzeko, aldatzeko edo ezabatzeko. [S1] [S2] Biltegiratze-ontzietara baimenik gabeko sarbideak erabiltzaile pribatuen fitxategiak erakustea edo aplikazio-aktibo kritikoak ezabatzea ekar dezake. [S3]

FixVibe probak nola egiten dituen

FixVibe-k bere Supabase kontrolen zati gisa estaltzen du orain. baas.supabase-security-checklist-backfill-k Supabase Biltegiratze-ontzien metadatu publikoak, objektu-zerrendaren esposizio anonimoak, kuboen izendapen sentikorra eta muga publikoko biltegiratze-seinaleak berrikusten ditu. Erlazionatutako zuzeneko egiaztapenek zerbitzu-rolen gakoen esposizioa, Supabase REST/RLS jarrera eta biltegiko SQL migrazioak RLS faltan ikuskatzen dituzte.

Zer konpondu

Gaitu beti errenkada-mailako segurtasuna datu-baseen tauletan eta ezarri politika xeheak autentifikatutako erabiltzaileentzat. [S2] Ziurtatu 'anon' gakoa soilik erabiltzen dela bezeroaren aldeko kodean, 'service_role' tekla zerbitzarian geratzen den bitartean. [S1] Konfiguratu Biltegiratze Sarbide Kontrola fitxategi-ontziak lehenespenez pribatuak direla eta sarbidea zehaztutako segurtasun-politiken bidez soilik ematen dela ziurtatzeko. [S3]