// docs / baas security
امنیت BaaS
پلتفرمهای Backend-as-a-Service — Supabase، Firebase، Clerk، Auth0 — همان بخشهایی از اپلیکیشن را مدیریت میکنند که ابزارهای کدنویسی هوش مصنوعی با کمترین دقت به آنها میپردازند: امنیت در سطح ردیف، قوانین ذخیرهسازی، پیکربندی ارائهدهنده هویت، و اینکه کدام کلیدها به مرورگر ارسال میشوند. این بخش کتابخانهای متمرکز از مقالاتی است که نشان میدهد این پیکربندیهای نادرست در محیط تولید واقعاً چه شکلی دارند و چگونه میتوان آنها را یافت و رفع کرد. هر مقاله با یک اسکن تککلیکی از استقرار شخصی شما پایان مییابد.
// اسکنر supabase rls
اسکنر Supabase RLS: یافتن جدولهایی با امنیت در سطح ردیف ناموجود یا معیوب
یک اسکن غیرفعال RLS از بیرونِ پایگاهداده چه چیزی را میتواند اثبات کند، چهار شکل از RLS معیوب که ابزارهای کدنویسی هوش مصنوعی بهطور پیشفرض تولید میکنند، نحوه عملکرد فحص
baas.supabase-rlsدر FixVibe چگونه است و دقیقاً چه SQL باید پس از یافتن یک سیاست گمشده اعمال شود.اپلیکیشن خود را برای کشف RLS ناموجود اسکن کنید →
// افشای کلید service role
افشای کلید service role Supabase در جاوااسکریپت
کلید service role چیست، چرا هرگز نباید در مرورگر باشد، و سه روشی که ابزارهای کدنویسی هوش مصنوعی بهطور تصادفی آن را به تولید میفرستند. شامل شکل JWT که یک کلید نشتیافته را شناسایی میکند، یک runbook پاسخ فوری و چگونگی شناسایی آن توسط اسکن بسته FixVibe.
بررسی کنید آیا اسرار در بسته شما منتشر شدهاند →
// سفتسازی ذخیرهسازی
چکلیست امنیت سطل ذخیرهسازی Supabase
یک چکلیست متمرکز ۲۲ مورد برای سفتسازی Supabase Storage — قابلیت رؤیت سطل، سیاستهای RLS روی جدول
objects، اعتبارسنجی MIME-type، مدیریت signed URL، اقدامات ضد شمارش و بهداشت عملیاتی. هر مورد یک کار است که میتوان آن را در ۵-۱۵ دقیقه به پایان رساند.اسکن سطلهای عمومی و ذخیرهسازی قابل لیست توسط anon →
// اسکنر قوانین firebase
اسکنر قوانین Firebase: یافتن قوانین باز Firestore، Realtime Database و Storage
اسکنر قوانین Firebase از بیرون چگونه کار میکند، الگوهای حالت آزمایشی که ابزارهای هوش مصنوعی تولید میکنند، سه سرویس Firebase که هر یک به ممیزی قوانین خود نیاز دارند (Firestore، Realtime Database، Storage) و آنچه یک اسکن میتواند بدون اعتبارنامه اثبات کند.
بررسی قوانین خواندن/نوشتن باز →
// توضیح نحو قانون
توضیح Firebase allow read, write: if true
قانون
allow read, write: if true;در واقع چه کار میکند، چرا Firebase آن را بهعنوان پیشفرض حالت آزمایشی ارائه میدهد، رفتار دقیقی که یک مهاجم میبیند، و چهار راه برای جایگزینی آن با یک قانون امن تولید. شامل یک کوئری ممیزی copy-paste و یک طرح اصلاح پنج مرحلهای.اسکن URL تولیدی خود →
// سفتسازی clerk
چکلیست امنیت Clerk
یک چکلیست ۲۰ موردی برای سفتسازی یک یکپارچهسازی Clerk — بهداشت کلید محیط، تنظیمات نشست، تأیید webhook، مجوزهای سازمان، محدود کردن قالب JWT و پایش عملیاتی. موارد قبل از راهاندازی و موارد جاری بهتفکیک حوزه گروهبندی شدهاند.
بررسی پیکربندیهای نادرست احراز هویت/نشست →
// سفتسازی auth0
چکلیست امنیت Auth0
یک ممیزی ۲۲ موردی Auth0 که نوع اپلیکیشن و grantها، allowlistهای callback / logout، چرخش refresh-token، امنیت اقدام سفارشی، RBAC و سرورهای resource، تشخیص ناهنجاری و پایش لاگ مستأجر را پوشش میدهد. مواردی را که اپلیکیشنهای SaaS تولیدشده توسط هوش مصنوعی بهطور مداوم از دست میدهند میگیرد.
بررسی افشای ارائهدهنده هویت →
// اسکنر چتری
اسکنر پیکربندی نادرست BaaS: یافتن مسیرهای داده عمومی در Supabase، Firebase، Clerk و Auth0
چرا ارائهدهندگان BaaS امنیت را به یک شکل شکست میدهند، پنج کلاس پیکربندی نادرست که هر اپلیکیشن مبتنی بر BaaS باید ممیزی کند، اسکن چتری BaaS در FixVibe در سراسر هر چهار ارائهدهنده چگونه کار میکند، مقایسه دوسویه آنچه هر اسکنر میتواند اثبات کند، و یک مقایسه صادقانه با Burp، ZAP و ابزارهای SAST.
یافتن مسیرهای داده عمومی پیش از کاربران →
آنچه در راه است
مقالههای بیشتری در حوزه BaaS با گسترش پوشش موتور اسکن FixVibe در اینجا منتشر خواهد شد. گزارش تغییرات موتور اسکن هر تشخیص جدید را ثبت میکند — آن را دنبال کنید تا دفتر زندهای از آنچه FixVibe اکنون میتواند از بیرون اثبات کند در اختیار داشته باشید.