FixVibe

// docs / baas security / umbrella scanner

Scanóir míchumraíochta BaaS: aimsigh cosáin shonraí phoiblí sula bhfeicfidh úsáideoirí iad

Soláthraithe Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — teipeann orthu go léir i slándáil sa chruth céanna: seolann an t-ardán réamhshocruithe ciallmhara, sroicheann an forbróir (nó an uirlis códaithe AI) aicearra, agus osclaíonn cosán poiblí idir ionsaitheoir gan fhíordheimhniú agus sonraí an chustaiméara. Is é scanóir míchumraíochta BaaS an t-aon uirlis a dhéanann promhadh ar an gcosán sin ón taobh amuigh ar an mbealach a dhéanfadh ionsaitheoir. Mapálann an t-alt seo na cúig aicme míchumraíochta atá ag athfhilleadh, míníonn sé conas a oibríonn an scanadh scáth BaaS FixVibe, cuireann sé na ceithre mhórsholáthraí i gcomparáid, agus cuireann sé an scanóir feasach-BaaS i gcodarsnacht le huirlisí DAST ginearálta.

Cén fáth a bhfuil cruth athfhillte ag míchumraíochtaí BaaS

Leanann gach ardán BaaS an ailtireacht chéanna: cúl bainistithe le SDK tanaí cliaint a labhraíonn leis ón mbrabhsálaí. Teastaíonn dintiúr éigin ón gcliant atá ag tabhairt aghaidh ar an mbrabhsálaí — eochair anon, eochair in-fhoilsithe, aitheantas tionscadail Firebase — chun é féin a aithint don chúl. Tá an dintiúr sin poiblí d'aon ghnó; tá sábháilteacht na hailtireachta ag brath ar rialuithe rochtana ar leibhéal an ardáin (RLS, rialacha, liostaí ceadaithe) ag déanamh a poist.

Tógann uirlisí códaithe AI ar an ailtireacht seo gan an ciseal rialaithe ardáin a inmheánú. Snaidhmeann siad an SDK cliaint i gceart, glacann siad le rialacha réamhshocraithe ceadaitheacha an ardáin (atá ann le haghaidh cairdiúlacht teagaisc), agus seolann siad. Is é an cruth athfhillte: dintiúr poiblí + riail réamhshocraithe cheadaitheach + sárú ar iarraidh = nochtadh sonraí. Is athraitheanna den chruth seo iad na cúig aicme míchumraíochta thíos go léir.

Na cúig aicme míchumraíochta athfhillte

Tagann siad seo aníos ar fud gach soláthraí BaaS. Cuimsíonn scanadh iomlán an cúig acu in aghaidh gach soláthraí atá in úsáid:

Aicme 1: Eochair mhícheart i mburla an bhrabhsálaí

Seolann an brabhsálaí an eochair rúnda/riarthóra (Supabase service_role, eochair phríobháideach Firebase Admin SDK, Clerk sk_*, rún cliaint Auth0) in ionad an chomhionann phoiblí/anon. Éiríonn an brabhsálaí ina chliant riarthóra gan srian. Cuimsithe ag seic burla-rúin FixVibe.

Aicme 2: Ciseal rialaithe rochtana díchumasaithe nó ceadaitheach

Tá RLS as, tá rialacha Firebase if true, tá liosta glao-ais Auth0 saorógaithe. Tá an dintiúr sa bhrabhsálaí ina cheann ceart — ach níl an teorainn ar leibhéal an ardáin a bhí ceaptha é a shrianadh ag déanamh a phoist.

Aicme 3: Léamha gan ainm ar acmhainní íogaire

Bailiúcháin Firestore inléite gan ainm, buicéid stórais Supabase inliostáilte gan ainm, API bainistíochta Auth0 in-rochtana gan ainm. Cuireann an scanadh ceist: "gan dintiúir, cad is féidir liom a léamh?"

Aicme 4: Earraí mód-tástála sa táirgeadh

Eochracha tástála (pk_test_*, sb_test_*) in imscaradh táirgthe; aipeanna Firebase i mód-fhorbartha insroichte ón bhfearann beo; feidhmchláir Auth0 tionónta-tástála le socruithe níos laige ná an táirgeadh. Cuireann an scanadh na heochracha ama rite i gcomparáid leis na réimíreanna táirgthe a bhfuiltear ag súil leo.

Aicme 5: Fíorú síniú gréasáin ar iarraidh

Síníonn gréasáin Clerk, gréasáin Stripe, gréasáin Supabase a n-ualaí go léir. Is primitiv scríofa bunachar sonraí é láimhseálaí nach bhfíoraíonn an síniú d'aon ionsaitheoir a thomhaiseann an URL. Aimsithe trí chruth an fhreagra — ciallaíonn iarratas neamhshínithe a fhaigheann 200 go bhfuil an fíorú á scipeáil.

Conas a oibríonn an scanadh scáth BaaS FixVibe

Ritheann céim BaaS FixVibe i dtrí chéim, gach ceann acu ag táirgeadh torthaí ar leith:

  1. <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
  2. Céim 2 — promhaidh soláthraí-shonracha. I gcás gach soláthraí a aimsíodh, ritheann an scanóir an seic sonrach soláthraí: déanann baas.supabase-rls promhadh ar PostgREST; déanann baas.firebase-rules promhadh ar Firestore + RTDB + Storage; bailíochtaíonn baas.clerk-auth0 an réimír d'eochracha i mburla; bailíochtaíonn an seic burla-rúin nach ndearnadh aon dintiúr leibhéal-seirbhíse a sceitheadh. Ritheann gach promhadh go neamhspleách — ní bhlocálann toradh Supabase an scanadh Firebase.
  3. Céim 3 — comhghaolú tras-soláthraí. Cuireann an scanóir torthaí i gcrostagairt. Tá eochair sceite ról-seirbhíse Supabase in aice le RLS ar iarraidh níos déine ná ceachtar toradh ina aonar — déantar an méid sin a thabhairt chun cinn sa tuarascáil. Cuirtear bratach struchtúrach ar il-sholáthraithe céannachta (Clerk + Auth0 + fíordheimhniú saincheaptha) san aip chéanna le haghaidh athbhreithnithe.

Tá gach promhadh éighníomhach: ar a mhéid léamh gan ainm amháin in aghaidh na hacmhainne, le cruth an fhreagra taifeadta ach ní leanann ná stóráiltear inneachar sraitheanna riamh. Tá promhaidh scríofa agus modhnaithe faoi gheata taobh thiar d'fhíorú úinéireachta fearainn — ní ritheann siad riamh in aghaidh spriocanna gan fhíorú.

Cad a aimsíonn an scanóir in aghaidh an tsoláthraí

Tá dromchla difriúil agus straitéis scanta difriúil ag gach soláthraí BaaS. Seo a chuimsítear:

  • Supabase: RLS ar iarraidh ar tháblaí, buicéid stórais inliostáilte gan ainm, JWT sceite service_role nó eochair sb_secret_* i mburla, scéimrí nochta trí liostáil OpenAPI gan ainm. Féach Scanóir RLS Supabase agus Seicliosta stórais.
  • Firebase: rialacha if true ar Firestore, Realtime Database, agus Cloud Storage; buicéid Storage inliostáilte gan ainm; forghníomhú App Check ar iarraidh. Féach Scanóir rialacha Firebase agus Míniúchán riail if-true.
  • Clerk: eochracha rúnda sk_* i mburla, pk_test_* sa táirgeadh, fíorú síniú gréasáin ar iarraidh, bunáite ceadaithe saoróga. Féach Seicliosta Clerk.
  • Auth0: rúin chliaint i mburla, deontas Implicit cumasaithe, URLanna glao-ais / logáil-amach saoróga, PKCE ar iarraidh ar SPAanna. Féach Seicliosta Auth0.

Conas a chuireann scanóir BaaS i gcomparáid le huirlisí DAST agus SAST ginearálta

Déanann scanóir feasach-BaaS obair shonrach nach ndéanann uirlisí eile. An chomparáid:

GnéFixVibe (DAST feasach-BaaS)DAST ginearálta (Burp / ZAP)SAST / SCA (Snyk / Semgrep)
Clúdach BaaSSeiceálacha dúchasacha do Supabase, Firebase, Clerk, Auth0, AppwriteSnámhadh gréasáin cineálach; gan promhaidh soláthraí-shonrachaAnailís statach ar an stór amháin; gan bailíochtú táirgthe
Am socraitheURL → rith → torthaí i 60 soicindUaireanta: cumraigh damhán alla, fíordheimhniú, scópLá: comhtháthaigh i CI an stóir
Cad a chruthaíonn séNochtadh táirgthe-am-rite le fianaise HTTP-leibhéalLeochaileachtaí gréasáin-aipe (XSS, SQLi); BaaS trí chumraíocht láimhePatrúin chóid a d'fhéadfadh nó nach mbeadh imscartha
Iniúchadh burla JavaScriptDíchódaíonn JWTanna, meaitseálann réimíreanna rúnda, siúlann smutáinTeoranta — grep bunaithe ar theaghrán amháinTá, ach taobh an stóir amháin, ní imscartha
Scanadh leanúnachMíosúil / ar-imscaradh trí API + MCPLáimhe; cumraigh sceideal tú féinIn aghaidh an tiomanta (maith do chód, dall ar am rite)
Praghas d'aonar / d'fhoireann bheagSraith saor in aisce; íoctha ó $19/míBurp Pro $499/bl; ZAP saor in aisce ach torthaí dearfacha bréagacha go leorSnyk saor / Semgrep saor; sraitheanna íoctha ó $25/forb

Scóp macánta: cad nach gcuireann an scanóir seo ina ionad

Is uirlis dhírithe é scanóir DAST feasach-BaaS, ní clár slándála iomlán. Ní dhéanann sé:

  • Cur in ionad SAST nó SCA. Aimsíonn anailís statach CVEanna spleáchais (Snyk, Semgrep) agus leochaileachtaí ar leibhéal cóid (SonarQube) nach féidir le scanóir DAST. Rith an dá cheann.
  • Cur in ionad tástáil treáite láimhe. Aimsíonn pentóir daonna lochtanna loighic gnó, cásanna teorainne údaraithe, agus leochaileachtaí slabhraithe nach féidir le haon scanóir. Fostaigh pentóir sula seoltar mór nó iniúchadh comhlíonta.
  • Iniúchadh do chód nó stór le haghaidh rún i stair git. Cuimsíonn an seic burla-rúin an méid atá imscartha faoi láthair, ní an méid a tiomnaíodh go stairiúil. Úsáid git-secretsgitleaks le haghaidh sláinteachas stóir.
  • Clúdach seirbhísí cúl nach BaaS iad. Má úsáideann d'aip cúl saincheaptha (Express, Rails, Django, FastAPI), scanann FixVibe a dhromchla HTTP ach ní dhéanann sé promhadh ar an mbunachar sonraí nó ar an mbonneagar taobh thiar de. Is é sin críoch DAST ginearálta + SAST.

Ceisteanna coitianta

An oibríonn an scanadh scáth má úsáideann m'aip beirt sholáthraí BaaS (e.g., Supabase + Clerk)?

Oibríonn — tá méarlorg soláthraí agus promhaidh in aghaidh an tsoláthraí neamhspleách. Aimsíonn an scanóir an dá cheann, ritheann sé an dá fhoireann seic, agus tuairiscíonn sé comhghaolaithe tras-soláthraí (e.g., teimpléad JWT Supabase ó Clerk a sheolann email mar éileamh in aice le RLS ar iarraidh).

Cén difríocht atá idir é seo agus Burp Suite Pro a rith in aghaidh m'aipe?

Is ceárta DAST ginearálta é Burp. As an mbosca, níl a fhios ag Burp cad é PostgREST, Firestore, nó cosán glao-ais Auth0 — caithfidh tú scóp a chumrú de láimh, eisíntí a scríobh, agus freagraí a léirmhíniú. Seoltar FixVibe le promhaidh BaaS ionsuite agus formáidiú fianaise BaaS-chruthach. Buann Burp ar chlúdach gréasáin-aipe ginearálta (XSS, SQLi, loighic gnó); buann FixVibe ar thorthaí sonracha BaaS.

Cad faoi App Check (Firebase) nó dearbhú (Apple / Google)?

Cuireann App Check faoi deara scanaí seachtracha deisghníomhacha 403 a fhilleadh ar gach promhadh — an toradh ceart do bhuta mhailíseach. Iompraíonn scanadh FixVibe ó chliant gan dearbhú ar an mbealach céanna. Má tá App Check cumasaithe agat agus má thuairiscíonn FixVibe torthaí fós, ciallaíonn sé sin go bhfuil do rialacha oscailte do chliaint deimhnithe freisin, atá ina fhíor-riosca. Is é App Check + rialacha cearta an patrún cosanta-domhain.

An féidir leis an scanóir mo réiteach a fhíorú?

Is féidir — athrith tar éis an réiteach a chur i bhfeidhm. Tá aitheantais na seiceálacha (e.g., baas.supabase-rls) seasmhach ar fud rití, mar sin is féidir leat torthaí a dhifriú: is cruthúnas é toradh a bhí oscailte i rith 1 agus as láthair i rith 2 gur thuile an réiteach.

Na chéad chéimeanna eile

Rith scanadh FixVibe saor in aisce in aghaidh do URL táirgthe — seoltar na seiceálacha céime BaaS ar gach plean, lena n-áirítear an tsraith saor in aisce. Le haghaidh tumadóireachtaí domhain soláthraí-sonracha, cuimsíonn na hailt aonair sa chuid seo gach soláthraí go mion: RLS Supabase, Nochtadh eochrach-seirbhíse Supabase, Stóras Supabase, Rialacha Firebase, Firebase if-true, Clerk, agus Auth0.

// scan do dhromchla baas

Aimsigh an tábla oscailte sula bhfaighidh duine eile é.

Cuir URL táirgthe isteach. Áiríonn FixVibe na soláthraithe BaaS a labhraíonn d'aip leo, déanann sé méarloirg ar a gcrícphointí poiblí, agus tuairiscíonn sé cad is féidir le cliant gan fhíordheimhniú a léamh nó a scríobh. Saor in aisce, gan suiteáil, gan chárta.

  • Sraith saor in aisce — 3 scanadh sa mhí, gan chárta clárúcháin.
  • Méarlorg BaaS éighníomhach — gan gá le fíorú fearainn.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, agus tuilleadh.
  • Leideanna deisithe AI ar gach toradh — greamaigh ar ais isteach i Cursor / Claude Code.
Rith scanadh BaaS saor in aisce

níl clárú ag teastáil

Scanóir míchumraíochta BaaS: aimsigh cosáin shonraí phoiblí sula bhfeicfidh úsáideoirí iad — Docs · FixVibe