FixVibe

// docs / baas security / umbrella scanner

Eskanè move konfigirasyon BaaS: jwenn chemen done piblik anvan itilizatè

Founisè Backend-as-a-Service yo — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — tout echwe sekirite nan menm fòm: platfòm voye default rezonab, devlopè a (oswa zouti kodaj IA) lonje pou yon koche, epi yon chemen piblik louvri ant yon atakè ki pa otantifye ak done kliyan. Yon eskanè move konfigirasyon BaaS se sèl zouti ki sond chemen sa a depi deyò jan yon atakè ta. Atik sa a kat senk klas move konfigirasyon ki repete, eksplike kijan eskanè parapli BaaS FixVibe a mache, konpare kat gwo founisè yo, epi kontraste eskanè BaaS-konsyan kont zouti DAST jenerik.

Poukisa move konfigirasyon BaaS gen yon fòm repete

Chak platfòm BaaS swiv menm achitekti: yon backend jere ak yon SDK kliyan fen ki pale ak li nan navigatè a. Kliyan navigatè-fas bezwen kèk kalifikasyon — yon kle anon, yon kle piblikab, yon ID pwojè Firebase — pou idantifye tèt li bay backend la. Kalifikasyon sa a intansyonèlman piblik; sekirite achitekti a chita sou kontwòl aksè nivo-platfòm (RLS, règ, lis-pèmèt) k ap fè travay yo.

Zouti kodaj IA bati sou achitekti sa a san entèrnalize kouch platfòm-kontwòl la. Yo kable SDK kliyan an kòrèkteman, aksèpte règ default pèmisif platfòm la (ki egziste pou amikalite-leson patikilye), epi voye. Fòm repete a se: kalifikasyon piblik + règ default pèmisif + presedan ki manke = ekspozisyon done. Senk klas move konfigirasyon anba yo se tout varyant fòm sa a.

Senk klas move konfigirasyon ki repete

Sa yo parèt atravè chak founisè BaaS. Yon eskanè konplè kouvri tout senk yo kont chak founisè nan itilizasyon:

Klas 1: Move kle nan pakèt navigatè a

Navigatè a voye kle sekrè/administratè (Supabase service_role, kle prive Firebase Admin SDK, Clerk sk_*, sekrè kliyan Auth0) olye ekivalan piblik/anon. Navigatè a vin yon kliyan administratè san kontrent. Kouvri pa tcheke pakèt-sekrè FixVibe.

Klas 2: Kouch kontwòl-aksè dezaktive oswa pèmisif

RLS dezaktive, règ Firebase yo se if true, lis callback Auth0 a gen kat. Kalifikasyon nan navigatè a se bon an — men fwontyè nivo-platfòm ki te konsa kontrent li pa fè travay li.

Klas 3: Lekti anonim resous sansib

Koleksyon Firestore anon-lizib, bokè depo Supabase anon-listab, API jesyon Auth0 anon-aksesib. Eskanè a mande: "san kalifikasyon, sa mwen kapab li?"

Klas 4: Atefak mòd-tès nan pwodiksyon

Kle tès (pk_test_*, sb_test_*) nan yon deplwaman pwodiksyon; aplikasyon Firebase mòd-dev ki ka rive soti nan domèn an dirèk; aplikasyon Auth0 lokatè-tès ak paramèt pi fèb pase pwodiksyon. Eskanè a konpare kle ekzekisyon kont prefiks pwodiksyon ki espere.

Klas 5: Verifikasyon siyati webhook ki manke

Webhooks Clerk, webhooks Stripe, webhooks Supabase tout siyen chaj yo. Yon manyè ki pa verifye siyati a se yon primitif ekriti-baz done pou nenpòt atakè ki devine URL la. Detekte via fòm repons — yon demand ki pa siyen ki resevwa yon 200 vle di verifikasyon sote.

Kijan eskanè BaaS parapli FixVibe a mache

Faz BaaS FixVibe mache nan twa etap, chak pwodwi dekouvèt distenk:

  1. <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
  2. Etap 2 — sondaj espesifik-founisè. Pou chak founisè detekte, eskanè a mache tcheke espesifik-founisè: baas.supabase-rls sond PostgREST; baas.firebase-rules sond Firestore + RTDB + Storage; baas.clerk-auth0 valide prefiks kle pakèt; tcheke pakèt-sekrè valide pa gen kalifikasyon nivo-sèvis ki koule. Chak sondaj mache endepandan — yon dekouvèt Supabase pa bloke eskanè Firebase a.
  3. Etap 3 — koreyasyon kwa-founisè. Eskanè a kwa-referans dekouvèt. Yon kle service-role Supabase ki koule ansanm ak RLS ki manke pi grav pase chak dekouvèt sèl — rapò a fè sa parèt. Plizyè founisè idantite (Clerk + Auth0 + auth koutim) nan menm aplikasyon an se yon dekouvèt estriktirèl drapo pou egzaminen.

Chak sondaj pasif: omaksimòm yon lekti anonim pa resous, ak fòm repons anrejistre men kontni ranje pa janm pajinasyon oswa estoke. Sondaj ekriti ak modifikasyon bloke dèyè verifikasyon pwopriyete domèn — yo pa janm mache kont sib ki pa verifye.

Sa eskanè a jwenn pa founisè

Chak founisè BaaS gen yon sifas diferan ak yon estrateji eskanè diferan. Men sa ki kouvri:

  • Supabase: RLS ki manke sou tab, bokè depo anon-listab, JWT service_role ki koule oswa kle sb_secret_* nan pakèt, eskèma ekspoze via lis OpenAPI anonim. Gade Eskanè RLS Supabase ak Lis tcheke depo.
  • Firebase: règ if true sou Firestore, Realtime Database, ak Cloud Storage; bokè Storage anon-listab; ranfòsman App Check ki manke. Gade Eskanè règ Firebase ak Eksplikatè règ If-true.
  • Clerk: kle sekrè sk_* pakèt, pk_test_* nan pwodiksyon, verifikasyon siyati webhook ki manke, orijin pèmèt kat. Gade Lis tcheke Clerk.
  • Auth0: sekrè kliyan pakèt, otorize Implicit aktive, URL callback / logout kat, PKCE ki manke sou SPA. Gade Lis tcheke Auth0.

Kijan yon eskanè BaaS konpare ak zouti DAST ak SAST jenerik

Yon eskanè BaaS-konsyan fè travay espesifik ke lòt zouti pa fè. Konparezon an:

AspèFixVibe (DAST BaaS-konsyan)DAST jenerik (Burp / ZAP)SAST / SCA (Snyk / Semgrep)
Kouvèti BaaSTcheke natifòl pou Supabase, Firebase, Clerk, Auth0, AppwriteFouye web jenerik; pa gen sondaj espesifik-founisèAnaliz estatik depo sèlman; pa gen validasyon pwodiksyon
Tan konfigirasyonURL → mache → rezilta nan 60 segonnÈdtan: konfigire spider, auth, pòteJou: entegre nan CI depo
Sa li pwouveEkspozisyon ekzekisyon-pwodiksyon ak prèv nivo-HTTPVilnerabilite web-app (XSS, SQLi); BaaS via konfig manyèlModèl kòd ki ka deplwaye oswa non
Enspeksyon pakèt JavaScriptDekode JWT, koresponn prefiks sekrè, mache eklasLimite — grep chèn-baze sèlmanWi, men sèlman bò-depo, pa deplwaye
Eskanè kontinyèlMansyèl / sou-deplwaman via API + MCPManyèl; konfigire orè ou menmPa-komit (bon pou kòd, avèg pou ekzekisyon)
Pri pou solo / ti ekipNivo gratis; peye apati $19/mwaBurp Pro $499/yr; ZAP gratis men gwo fo pozitifSnyk gratis / Semgrep gratis; nivo peye apati $25/dev

Pòte onèt: sa eskanè sa a pa ranplase

Yon eskanè DAST BaaS-konsyan se yon zouti fokis, pa yon pwogram sekirite konplè. Li pa:

  • Ranplase SAST oswa SCA. Analiz estatik jwenn CVE depandans (Snyk, Semgrep) ak vilnerabilite nivo-kòd (SonarQube) ke yon eskanè DAST pa kapab. Mache tou de.
  • Ranplase tès penetrasyon manyèl. Yon pentestè imen jwenn defò biznis-lojik, ka edj otorizasyon, ak vilnerabilite chèn ke pa gen eskanè ki kapab. Anboche yon pentestè anvan yon gwo lanseman oswa odit konfòmite.
  • Odit kòd ou oswa depo pou sekrè nan istwa git. Tcheke pakèt-sekrè a kouvri sa ki aktyèlman deplwaye, pa sa ki te istorikman komèt. Itilize git-secrets oswa gitleaks pou ijyèn depo.
  • Kouvri sèvis backend ki pa-BaaS. Si aplikasyon ou itilize yon backend koutim (Express, Rails, Django, FastAPI), FixVibe eskane sifas HTTP li men li pa sond baz done a oswa enfrastrikti dèyè li. Sa se tèritwa DAST + SAST jenerik.

Kesyon ki poze souvan

Èske eskanè parapli a mache si aplikasyon mwen itilize de founisè BaaS (egzanp, Supabase + Clerk)?

Wi — anprent founisè ak sondaj pa-founisè endepandan. Eskanè a detekte tou de, mache tou de swit tcheke, epi rapòte koreyasyon kwa-founisè (egzanp, yon modèl JWT Supabase soti nan Clerk ki voye email kòm reklamasyon ansanm ak RLS ki manke).

Kijan sa diferan ak mache Burp Suite Pro kont aplikasyon mwen?

Burp se yon atelye DAST jenerik. Soti nan bwat la, Burp pa konnen ki sa PostgREST, Firestore, oswa chemen callback Auth0 ye — ou dwe manyèlman konfigire pòte, ekri ekstansyon, epi entèprete repons. FixVibe voye ak sondaj BaaS enkòpore ak fòmatè prèv-fòm BaaS. Burp genyen sou kouvèti web-app jenerik (XSS, SQLi, lojik biznis); FixVibe genyen sou dekouvèt BaaS-espesifik.

Sa pou App Check (Firebase) oswa atestasyon (Apple / Google)?

App Check fè eskanè ekstèn opòtinis retounen 403 sou chak sondaj — rezilta kòrèk pou yon bot move. Yon eskanè FixVibe soti nan yon kliyan ki pa ateste konpòte menm jan an. Si ou gen App Check aktive epi FixVibe toujou rapòte dekouvèt, li vle di règ ou louvri bay kliyan ateste tou, ki se vrè risk la. App Check + règ kòrèk se modèl defans-an-pwofondè a.

Èske eskanè a kapab verifye ranjman mwen?

Wi — re-mache apre aplike ranjman an. ID tcheke yo (egzanp, baas.supabase-rls) estab atravè eksperyans, kidonk ou kapab diff dekouvèt: yon dekouvèt ki te louvri nan eksperyans 1 epi absan nan eksperyans 2 se prèv ranjman an atè.

Etap pwochèn

Lanse yon eskanè FixVibe gratis kont URL pwodiksyon ou — tcheke faz BaaS voye sou chak plan, ki gen ladan nivo gratis la. Pou plonje pwofon espesifik-founisè, atik endividyèl nan seksyon sa a kouvri chak founisè an detay: Supabase RLS, Ekspozisyon kle-sèvis Supabase, Depo Supabase, Règ Firebase, Firebase if-true, Clerk, ak Auth0.

// eskane sifas baas ou

Twouve tab ki louvri a anvan yon lòt moun fè li.

Mete yon URL pwodiksyon. FixVibe enimere founisè BaaS aplikasyon ou a pale ak yo, anprent pwen-fen piblik yo, epi rapòte sa yon kliyan ki pa otantifye kapab li oswa ekri. Gratis, san enstalasyon, san kat.

  • Nivo gratis — 3 eskanè / mwa, san kat enskripsyon.
  • Anprent BaaS pasif — pa bezwen verifikasyon domèn.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, ak plis.
  • Pwòp ranjman IA sou chak dekouvèt — kole tounen nan Cursor / Claude Code.
Lanse yon eskanè BaaS gratis

pa gen enskripsyon ki nesesè

Eskanè move konfigirasyon BaaS: jwenn chemen done piblik anvan itilizatè — Docs · FixVibe