// docs / baas security / umbrella scanner
BaaS oñembosakopa vai escáner: ejuhu tape datos público usuario mboyve
Backend-as-a-Service proveedor — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — opavave oñembosakopa vai peteĩchaite: pe plataforma omeẽ predeterminado ekuatiapývape, pe desarrollador (térã pe IA tembipuru) oguereko peteĩ atajo, ha peteĩ tape público oñavri peteĩ atacante no-autenticado ha cliente datos mbytépe. Peteĩ BaaS oñembosakopa vai escáner ha'e tembipuru añoiteva ohechakuaáva pe tape okágui peteĩ atacante hechahaichaite. Ko tembiapokue omosaingo umi cinco oñembosakopa vai clase oñemyenuhẽva, omyesakã mba'éichapa pe FixVibe ñemoirũ BaaS escaneo omba'apo, oja'o pe irundy proveedor mokõive, ha oja'o pe BaaS-ojekuaáva escáner DAST tembipuru opavavetévare.
Mba'érepa BaaS oñembosakopa vai oguereko peteĩchagua hechakatuhague
Cada BaaS plataforma ohóva peteĩchagua arquitectura: peteĩ backend administrado peteĩ cliente SDK ipohýiva oñe'ẽ navegador-gui. Pe cliente navegador-pegua oikotevẽ mba'eveichagua credencial — peteĩ anon llave, peteĩ publishable llave, peteĩ Firebase proyecto ID — oikuaa hag̃ua iñe'ẽ pe backend-pe. Pe credencial ekuatiapýva público; pe arquitectura sãsõ oĩ pe plataforma-nivel jepokuaa ñangareko (RLS, regla, allowlist) tembiapo omba'apóva.
Tembipuru IA omopuã ko arquitectura ári oñongatu'ỹme pe plataforma-ñangareko layer. Omoĩ pe cliente SDK ekuatiapývape, omoneĩ pe plataforma regla permisivo predeterminado (oĩva tutorial-tape rupi), ha eñemoherakuã. Pe peteĩchagua hechakatuhague: credencial público + regla permisivo predeterminado + ñemyengovia nde'iréi = datos exposición. Umi cinco oñembosakopa vai clase yvýpe opavave variante ko hechakatuhague-gui.
Umi cinco oñembosakopa vai clase oñemyenuhẽva
Ko'ã osẽ cada BaaS proveedor rupi. Peteĩ escaneo kompleto ohupyty cinco-ve cada proyectoresgua rehe ojeporúva:
Clase 1: Llave vai navegador bundle-pe
Pe navegador omyengovia pe secreto/administración llave (Supabase service_role, Firebase Admin SDK private key, Clerk sk_*, Auth0 cliente secreto) pe público/anon ekuatiapýva rangue. Pe navegador ojejapo peteĩ administración cliente jokoha'ỹva. Ohupyty FixVibe bundle-secrets check.
Clase 2: Jepokuaa-ñangareko layer ipe'apyre térã permisivo
RLS oñembogue, Firebase regla ha'e if true, Auth0 callback lista comodín-ndive. Pe credencial navegador-pe ha'e pe ekuatiapýva — péro pe plataforma-nivel pa'ũ omba'apo va'erã ojokóvo nomba'apói.
Clase 3: Anonymous lectura recurso sensible-pe
Firestore colección anon-omoñe'ẽmbyre, Supabase storage bucket anon-listable, Auth0 administración API anon-ojekepojeropy. Pe escaneo oporandu: "credencial'ỹme, mba'épa amoñe'ẽkuaa?"
Clase 4: Test-mode mba'erã producción-pe
Test llave (pk_test_*, sb_test_*) peteĩ producción deploy-pe; dev-mode Firebase aplicación oñehupyty hag̃ua dominio teete-gui; test-tenant Auth0 aplicación ñembojere ikangyvévandive producción-gui. Pe escaneo oja'o pe runtime llave producción prefijo oñeha'ãrõva ndive.
Clase 5: Webhook firma ñehechakuaa nde'iréi
Clerk webhook, Stripe webhook, Supabase webhook opavave ojefirma payload. Peteĩ manipulador noverifikáirõ firma ha'e peteĩ base de datos-escritura primitiva mba'eveichagua atacante-pe ojuhúva URL. Ojejuhu ñembohovái forma rupi — peteĩ no firmado solicitud osẽva peteĩ 200-pe he'ise ñehechakuaa ojehasapa.
Mba'éichapa pe FixVibe ñemoirũ BaaS escaneo omba'apo
Pe FixVibe BaaS jepyru omba'apo mbohapy etapa-pe, cada peteĩ omeẽ jejuhu ojuavýva:
- <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
- Etapa 2 — proveedor-pegua sondeo. Cada proveedor ojehechauka rehe, pe escáner omba'apo peteĩ proveedor-pegua check:
baas.supabase-rlsohecha PostgREST;baas.firebase-rulesohecha Firestore + RTDB + Storage;baas.clerk-auth0ohechakuaa pe prefijo llave bundled-pe; pe bundle-secrets check ohechakuaa avave service-tier credencial osẽ'ỹha. Cada sondeo omba'apo ipy — peteĩ Supabase jejuhu nombloqueái pe Firebase escaneo. - Etapa 3 — cross-provider correlación. Pe escáner ojoja jejuhu. Peteĩ Supabase service-role llave osẽva RLS nde'iréi ndive ipohýive cada jejuhu peteĩ-peteĩva — pe ñembohovái omopu'ã péva. Heta identidad proveedor (Clerk + Auth0 + custom auth) peteĩ aplicación-pe ha'e peteĩ jejuhu estructural omombe'upyréva revisión hag̃ua.
Cada sondeo ha'e pasivo: upe'ỹve peteĩ anonymous lectura recurso rupi, ñembohovái forma oñongatupyréva péro fila ñe'ẽme araka'eve oñepaginái térã oñeñongatúi. Escritura ha ñemoambue sondeo ojokopy dominio verificación rire — araka'eve omba'apo target verifika'ỹme.
Mba'épa ojuhu pe escáner proveedor rupi
Cada BaaS proveedor oguereko peteĩ superficie ojuavýva ha peteĩ escaneo estrategia ojuavýva. Kóva ha'e oñehupyty:
- Supabase: RLS nde'iréi tabla rehe, anon-listable storage bucket, osẽva
service_roleJWT térãsb_secret_*llave bundle-pe, esquema ohechakapyréva anonymous OpenAPI lista rupi. Ehecha Supabase RLS escáner ha Storage checklist. - Firebase:
if trueregla Firestore, Realtime Database, ha Cloud Storage-pe; anon-listable Storage bucket; App Check ñehechakuaa nde'iréi. Ehecha Firebase rules escáner ha If-true regla ñemyesakã. - Clerk: bundled
sk_*secreto llave,pk_test_*producción-pe, webhook firma ñehechakuaa nde'iréi, comodín allowed origen. Ehecha Clerk checklist. - Auth0: bundled cliente secreto, Implicit grant habilitado, comodín callback / logout URL, PKCE nde'iréi SPA-pe. Ehecha Auth0 checklist.
Mba'éichapa peteĩ BaaS escáner ojeja'o DAST opavavetéva ha SAST tembipuru rehe
Peteĩ BaaS-ojekuaáva escáner ojapo tembiapo ekuatiapýva ambue tembipuru ndojapói. Pe comparación:
| Aspecto | FixVibe (BaaS-ojekuaáva DAST) | DAST opavavetéva (Burp / ZAP) | SAST / SCA (Snyk / Semgrep) |
|---|---|---|---|
| BaaS ñemoirũ | Check natural Supabase, Firebase, Clerk, Auth0, Appwrite-pe | Web ojepyrupypaha opavavetéva; proveedor-pegua sondeo nde'iréi | Repo añoite análisis estático; producción validación nde'iréi |
| Ñembojere tiempo | URL → embohape → osẽ 60 segundo-pe | Aravo: embojere spider, auth, alcance | Ára: eintegra repo CI-pe |
| Mba'épa ohechauka | Producción-runtime exposición HTTP-nivel testimonio ndive | Web-aplicación vulnerabilidad (XSS, SQLi); BaaS manual configuración rupi | Código patrón ikatúva oñemoherakuã térã nahániri |
| JavaScript bundle ñehecha | Odecodifika JWT, ojoja secreto prefijo, oguata chunk | Pohýi — cadena-pegua grep añoite | Heẽ, péro repo-pegua-añoite, nahániri oñemoherakuãva |
| Escaneo jepi | Mes rupi / on-deploy API + MCP rupi | Manual; embojere ne tiempo nde teete | Commit rupi (porã código-pe, ndohechái runtime) |
| Tepy solo / ekipo michĩ-pe | Plan reiete; otepy $19/mes-gui | Burp Pro $499/ary; ZAP reiete péro heta jejavy positivo | Snyk reiete / Semgrep reiete; paid plan $25/dev-gui |
Alcance añetegua: mba'épa ko escáner nomyengoviái
Peteĩ BaaS-ojekuaáva DAST escáner ha'e peteĩ tembipuru ekuatiapýva, nahániri peteĩ seguridad programa kompléto. Ndojapói:
- Omyengovia SAST térã SCA. Análisis estático ojuhu dependencia CVE (Snyk, Semgrep) ha código-nivel vulnerabilidad (SonarQube) peteĩ DAST escáner ndaikatúiva. Embohape mokõive.
- Omyengovia manual penetración testeo. Peteĩ pentester ojuhu negocio-lógica jejavy, autorización pa'ũ, ha vulnerabilidad ojuajupyréva escáner ndaikatúiva. Erekuruka peteĩ pentester peteĩ jepyrũ tuicha térã cumplimiento auditoría mboyve.
- Eaudita ne código térã repo secreto git tembiasakuepegua-pe. Pe bundle-secrets check ohupyty pe ko'ãgaite oñemoherakuãva, nahániri pe ymaguáre commit. Eipuru
git-secretstérãgitleaksrepo higiene-pe. - Ohupyty no-BaaS backend servicio. Ne aplicación oipurúrõ peteĩ custom backend (Express, Rails, Django, FastAPI), FixVibe ohecha pe HTTP superficie péro nohechái pe base de datos térã infraestructura hapykuéri. Péva ha'e DAST opavavetéva + SAST tetã.
Porandu hetave ojeporandúva
Pe ñemoirũ escaneo piko omba'apo ne aplicación oipurúrõ mokõi BaaS proveedor (kuera, Supabase + Clerk)?
Heẽ — proveedor huella ha proveedor-rupi sondeo ipy. Pe escáner ohecha mokõive, omba'apo mokõive check aty, ha omombe'u cross-provider correlación (kuera, peteĩ Supabase JWT template Clerk-gui omyengoviáva email peteĩ claim-icha RLS nde'iréi ndive).
Mba'éicha ojuavýva kóva embohape Burp Suite Pro rehe ne aplicación-pe?
Burp ha'e peteĩ DAST opavavetéva mba'aposeñoiha. Burp ndoikuaái mba'épa PostgREST, Firestore, térã Auth0 callback tape — eñembojere alcance manualmente, ehai extensión, ha emyesakã ñembohovái. FixVibe omyenyhẽ BaaS sondeo embebidova ha BaaS-shaped testimonio formato. Burp oguereko apañuãi web-aplicación ñemoirũ (XSS, SQLi, negocio lógica); FixVibe oguereko apañuãi BaaS-pegua jejuhu.
Mba'épa App Check rehegua (Firebase) térã atestación (Apple / Google)?
App Check ojapo escaneo externo oportunista omyenyhẽ 403 cada sondeo-pe — pe osẽvarã ekuatiapýva peteĩ bot ivaíva-pe. Peteĩ FixVibe escaneo peteĩ cliente atestadakuáva'ỹgui omba'apo peteĩchaite. Eguerekórõ App Check habilitado ha FixVibe omombe'u gueteri jejuhu, he'ise ne regla oĩ jepe'apyre cliente atestadávape avei, péva ha'e pe riesgo añetegua. App Check + regla porã ha'e pe ñangareko-pype patrón.
Pe escáner piko ikatu ohechakuaa che ñemyatyrõ?
Heẽ — embohape jey emyatyrõ rire. Pe check ID (kuera, baas.supabase-rls) opyta peteĩchaite run rupi, upéicha ediferenciá jejuhu: peteĩ jejuhu open run 1-pe ha nde'iréi run 2-pe ha'e testimonio pe ñemyatyrõ oguahẽ.
Tape upéi
Embohape peteĩ FixVibe escaneo reiete ne producción URL-pe — pe BaaS-jepyru check oñemoherakuã cada plan-pe, plan reiete avei. Proveedor-pegua jeike pype, umi tembiapokue ipy ko aty-pe ohupyty cada proveedor pype: Supabase RLS, Supabase service-llave exposición, Supabase storage, Firebase regla, Firebase if-true, Clerk, ha Auth0.