// docs / baas security / umbrella scanner
Sganair mì-rèiteachaidh BaaS: lorg slighean dàta poblach mus dèan cleachdaichean
Bidh solaraichean Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — uile a' fàilligeadh tèarainteachd san aon chumadh: bidh an t-àrd-ùrlar a' cur a-mach bun-roghainnean ciallach, ruigidh an leasaiche (no an inneal còdaidh AI) airson ath-ghoirid, agus fosglaidh slighe phoblach eadar ionnsaighiche gun dearbhadh agus dàta luchd-cleachdaidh. 'S e sganair mì-rèiteachaidh BaaS an aon inneal a thomhaiseas an t-slighe sin bhon taobh a-muigh san aon dòigh 's a dhèanadh ionnsaighiche. Tha an t-artaigil seo a' mapadh nan còig clasaichean mì-rèiteachaidh ath-thillteach, a' mìneachadh mar a tha sgan sgàile BaaS FixVibe ag obair, a' coimeas nan ceithir solaraichean mòra, agus a' coimeas an sganair BaaS-fiosrach ri innealan DAST coitcheann.
Carson a tha cumadh ath-thillteach aig mì-rèiteachaidhean BaaS
Bidh gach àrd-ùrlar BaaS a' leantainn na h-aon ailtireachd: cùl-taic riaghlaichte le SDK cliant tana a bhruidhneas ris bhon bhrabhsair. Feumaidh an cliant a tha mu choinneamh a' bhrabhsair cuid de theisteanas — iuchair anon, iuchair fhoillseachail, ID pròiseict Firebase — gus e fhèin aithneachadh don chùl-taic. Tha an teisteanas sin a dh'aon ghnothach poblach; tha sàbhailteachd na h-ailtireachd an crochadh air smachdan ruigsinn aig ìre an àrd-ùrlair (RLS, riaghailtean, liostaichean ceadachaidh) a' dèanamh an gnothach.
Bidh innealan còdaidh AI a' togail air mullach na h-ailtireachd seo gun a bhith ag in-fhasadh na h-ìre smachdan-àrd-ùrlair. Bidh iad a' ceangal an SDK cliant gu ceart, a' gabhail ri bun-riaghailtean ceadachail an àrd-ùrlair (a tha ann airson eòlas a thoirt), agus a' cur a-mach. 'S e an cumadh ath-thillteach: teisteanas poblach + bun-riaghailt cheadachail + neo-thar-cheannas a dhìth = foillseachadh dàta. Tha na còig clasaichean mì-rèiteachaidh gu h-ìosal uile nan caochlaidhean den chumadh seo.
Na còig clasaichean mì-rèiteachaidh ath-thillteach
Nochdaidh iad sin air feadh gach solaraiche BaaS. Bidh sgan iomlan a' còmhdach gach còig an aghaidh gach solaraiche a thathar a' cleachdadh:
Clas 1: An iuchair cheàrr sa bhundle brabhsair
Bidh am brabhsair a' cur na h-iuchrach dìomhair/rianachd (Supabase service_role, iuchair phrìobhaideach SDK Rianachd Firebase, Clerk sk_*, dìomhair cliant Auth0) an àite na h-iuchrach poblach/anon. Bidh am brabhsair na chliant rianachd gun chuingealachadh. Air a chòmhdach le sgrùdadh dìomhairean-bundle FixVibe.
Clas 2: Ìre smachd ruigsinn dheth no ceadachail
Tha RLS dheth, tha riaghailtean Firebase if true, tha liosta callback Auth0 le wildcard. 'S e an teisteanas sa bhrabhsair am fear ceart — ach chan eil a' chrìoch aig ìre an àrd-ùrlair a chaidh a chiallachadh ga chuingealachadh a' dèanamh a gnothach.
Clas 3: Leughaidhean gun aithne air goireasan cugallach
Cruinneachaidhean Firestore a ghabhas leughadh gun aithne, bucaidean stòrais Supabase a ghabhas liostadh gun aithne, API Riaghlaidh Auth0 ri ruigsinn gun aithne. Tha an sgan a' faighneachd: "gun teisteanasan, dè as urrainn dhomh a leughadh?"
Clas 4: Tasgaichean modh-deuchainn ann an cinneasachadh
Iuchraichean deuchainn (pk_test_*, sb_test_*) ann an cur-a-mach cinneasachaidh; aplacaidean Firebase modh-leasachaidh a tha ri ruigsinn bhon àrainn bheò; aplacaidean Auth0 luchd-fastaidh deuchainn le roghainnean nas laige na cinneasachadh. Bidh an sgan a' coimeas nan iuchraichean àm-ruith ris na ro-leasachain cinneasachaidh ris a bheilear an dùil.
Clas 5: Dearbhadh ainm-sgrìobhte webhook a dhìth
Bidh webhooks Clerk, webhooks Stripe, webhooks Supabase uile a' soidhneadh am pacaidean. 'S e prìomh-sgrìobhadh-stòir-dàta a th' ann an làimhsiche nach dearbh an t-ainm-sgrìobhte do dh'ionnsaighiche sam bith a tha a' tomhas air an URL. Air a lorg tro chumadh freagairt — tha iarrtas neo-shoidhnichte a gheibh 200 a' ciallachadh gu bheilear a' leigeil seachad dearbhadh.
Mar a tha sgan sgàile BaaS FixVibe ag obair
Ruithidh ìre BaaS FixVibe ann an trì ìrean, gach fear a' cruthachadh lorgaidhean eadar-dhealaichte:
- <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
- Ìre 2 — tomhasan solaraiche-shònraichte. Airson gach solaraiche a chaidh a lorg, ruithidh an sganair an sgrùdadh solaraiche-shònraichte: tomhaisidh
baas.supabase-rlsPostgREST; tomhaisidhbaas.firebase-rulesFirestore + RTDB + Stòras; dearbhaidhbaas.clerk-auth0ro-leasachan iuchraichean pasgte; dearbhaidh sgrùdadh nan dìomhairean-bundle nach do chaidh teisteanasan ìre seirbheis a-mach. Bidh gach tomhas a' ruith gu neo-eisimeileach — chan eil lorg Supabase a' bacadh an sgan Firebase. - Ìre 3 — co-cheangal tar-sholaraiche. Bidh an sganair a' tar-aithris air lorgaidhean. Tha iuchair seirbheis-dreuchd Supabase a chaidh a-mach còmhla ri RLS a tha a dhìth nas miosa na lorg sam bith leis fhèin — bidh an aithisg a' togail seo. 'S e lorg structarail a th' ann an iomadh solaraiche dearbh-aithne (Clerk + Auth0 + dearbhadh gnàthach) san aon aplacaid air a chomharrachadh airson lèirmheis.
Tha gach tomhas fulangach: co-dhiù aon leughadh gun aithne gach goireas, le cumadh na freagairt air a chlàradh ach susbaint sreath nach eil ga roinn duilleagan no ga stòradh a-riamh. Tha tomhasan sgrìobhaidh agus atharrachaidh cuingealaichte ri seilbh àrainn dearbhte — cha ruith iad an aghaidh targaidean gun dearbhadh a-riamh.
Na lorgas an sganair gach solaraiche
Tha uachdar eadar-dhealaichte agus ro-innleachd sganaidh eadar-dhealaichte aig gach solaraiche BaaS. Seo na tha air a chòmhdach:
- Supabase: RLS a tha a dhìth air clàran, bucaidean stòrais a ghabhas liostadh gun aithne, JWT
service_roleno iuchairsb_secret_*a chaidh a-mach ann am bundle, sgeamaichean a chaidh fhoillseachadh tro liostadh OpenAPI gun aithne. Faic Sganair RLS Supabase agus Liosta-sgrùdaidh stòrais. - Firebase: riaghailtean
if trueair Firestore, Realtime Database, agus Cloud Storage; bucaidean Storage a ghabhas liostadh gun aithne; cur-an-gnìomh App Check a dhìth. Faic Sganair riaghailtean Firebase agus Mìneachadh riaghailt if-true. - Clerk: iuchraichean dìomhair
sk_*pasgte,pk_test_*ann an cinneasachadh, dearbhadh ainm-sgrìobhte webhook a dhìth, tùsan ceadaichte wildcard. Faic Liosta-sgrùdaidh Clerk. - Auth0: dìomhairean cliant pasgte, tabhartas Implicit air a chur an comas, URLan callback / logout wildcard, PKCE a dhìth air SPAan. Faic Liosta-sgrùdaidh Auth0.
Mar a tha sganair BaaS a' coimeas ri DAST coitcheann agus innealan SAST
Bidh sganair BaaS-fiosrach a' dèanamh obair shònraichte nach dèan innealan eile. An coimeas:
| Taobh | FixVibe (DAST BaaS-fiosrach) | DAST Coitcheann (Burp / ZAP) | SAST / SCA (Snyk / Semgrep) |
|---|---|---|---|
| Còmhdach BaaS | Sgrùdaidhean tùsail airson Supabase, Firebase, Clerk, Auth0, Appwrite | Snàigh lìn coitcheann; gun tomhasan solaraiche-shònraichte | Mion-sgrùdadh stèidh-shuidhichte den stòr-tasgaidh a-mhàin; gun dearbhadh cinneasachaidh |
| Ùine stèidheachaidh | URL → ruith → toraidhean ann an 60 diog | Uairean: rèitich damhan, dearbhadh, sgòpa | Latha: amalaich a-steach do CI an stòir-tasgaidh |
| Na dhearbhas e | Foillseachadh àm-ruith cinneasachaidh le fianais aig ìre HTTP | So-leònte aplacaid lìn (XSS, SQLi); BaaS tro rèiteachadh-làimhe | Pàtrain còd a dh'fhaodadh no nach fhaod a bhith air an cur a-mach |
| Sgrùdadh bundle JavaScript | A' còd-mhìneachadh JWTan, a' freagairt air ro-leasachain dìomhair, a' coiseachd phìosan | Cuingealaichte — greasadh stèidhichte air sreang a-mhàin | Tha, ach taobh-tasgaidh a-mhàin, chan ann air a chur a-mach |
| Sganadh leantainneach | Mìosail / air cur-a-mach tro API + MCP | Le làimh; rèitich an clàr-ama thu fhèin | Gach geall (math airson còd, dall don àm-ruith) |
| Prìs airson aon-neach / sgioba beag | Sreath an-asgaidh; pàighte bho $19/mìos | Burp Pro $499/bliadhna; ZAP an-asgaidh ach mearachdan-meallta àrd | Snyk an-asgaidh / Semgrep an-asgaidh; sreathan pàighte bho $25/leasaiche |
Sgòpa onarach: na nach cuir an sganair seo na àite
'S e inneal cuimsichte a th' ann an sganair DAST BaaS-fiosrach, chan e prògram tèarainteachd iomlan. Chan eil e:
- A' cur an àite SAST no SCA. Bidh mion-sgrùdadh stèidh-shuidhichte a' lorg CVEan eisimeileachd (Snyk, Semgrep) agus so-leònte aig ìre còd (SonarQube) nach urrainn do sganair DAST. Ruith an dà chuid.
- A' cur an àite deuchainn-fhighte le làimh. Bidh peantair daonna a' lorg duilgheadasan loidsig gnìomhachais, oirean ùghdarrachaidh, agus so-leònte ceangailte nach lorg sganair sam bith. Faigh peantair ro thòiseachadh mòr no sgrùdadh co-ghèilleadh.
- A' sgrùdadh do chòd no stòr-tasgaidh airson dìomhairean ann an eachdraidh git. Bidh an sgrùdadh dìomhairean-bundle a' còmhdach na tha air a chur a-mach an-dràsta, chan e na chaidh a gheallachadh gu h-eachdraidheil. Cleachd
git-secretsnogitleaksairson slàinte stòir-tasgaidh. - A' còmhdach seirbheisean cùl-taic nach eil BaaS. Ma chleachdas an aplacaid agad cùl-taic gnàthach (Express, Rails, Django, FastAPI), sgrùdaidh FixVibe an uachdar HTTP aige ach cha tomhaisidh e an stòr-dàta no am bun-structar air a chùl. 'S e tìr DAST + SAST coitcheann a tha sin.
Ceistean Cumanta
An obraich an sgan sgàile ma chleachdas an aplacaid agam dà sholaraiche BaaS (m.e., Supabase + Clerk)?
Obraichidh — tha comharrachadh solaraiche agus tomhasan gach solaraiche neo-eisimeileach. Bidh an sganair a' lorg an dà chuid, a' ruith an dà shreath sgrùdaidh, agus ag aithris co-cheanglaichean tar-sholaraiche (m.e., teamplaid JWT Supabase bho Chlerk a chuireas email mar thagradh còmhla ri RLS a tha a dhìth).
Dè cho eadar-dhealaichte 's a tha seo bho bhith a' ruith Burp Suite Pro an aghaidh na h-aplacaide agam?
'S e bothan-obrach DAST coitcheann a th' ann am Burp. Bhon bhogsa, chan eil fios aig Burp dè a th' ann am PostgREST, Firestore, no slighe callback Auth0 — feumaidh tu sgòpa a rèiteachadh, leudachain a sgrìobhadh, agus freagairtean a mhìneachadh le làimh. Bidh FixVibe a' tighinn le tomhasan BaaS air a thogail a-steach agus cruth fianais ann an cumadh BaaS. Buannaichidh Burp air còmhdach aplacaid lìn choitcheann (XSS, SQLi, loidsig gnìomhachais); buannaichidh FixVibe air lorgaidhean BaaS-sònraichte.
Dè mu dheidhinn App Check (Firebase) no dearbhadh (Apple / Google)?
Bidh App Check a' toirt air sganaidhean cothromachail bhon taobh a-muigh 403 a thilleadh air gach tomhas — an toradh ceart airson bot droch-rùnach. Bidh sgan FixVibe bho chliant gun dearbhadh ag obrachadh san aon dòigh. Ma tha App Check air a chur an comas agus tha FixVibe fhathast ag aithris lorgaidhean, tha sin a' ciallachadh gu bheil na riaghailtean agad fosgailte do chliantan dearbhte cuideachd, a tha mar an cunnart fìor. 'S e App Check + riaghailtean ceart am pàtran dìon-an-doimhneachd.
An urrainn don sganair an càradh agam a dhearbhadh?
Urrainn — ath-ruith às dèidh càraidh a chur an gnìomh. Tha aithnichearan sgrùdaidh (m.e., baas.supabase-rls) seasmhach thar ruithean, agus mar sin 's urrainn dhut diofar lorgaidhean a dhèanamh: 's e lorg a bha open ann an ruith 1 agus a tha às a' bhith ann an ruith 2 dearbhadh gun do laigh an càradh.
An ath cheum
Ruith sgan FixVibe an-asgaidh an aghaidh URL a' chinneasachaidh agad — tha sgrùdaidhean ìre BaaS a' tighinn air a h-uile plana, an sreath an-asgaidh nam measg. Airson dùmhlachd solaraiche-shònraichte, bidh na h-artaigilean fa-leth san roinn seo a' còmhdach gach solaraiche gu mionaideach: Supabase RLS, Foillseachadh iuchair-sheirbheis Supabase, Stòras Supabase, Riaghailtean Firebase, Firebase if-true, Clerk, agus Auth0.