// docs / baas security / umbrella scanner
BaaS-rangstillingaskanni: finndu opinberar gagnaleiðir áður en notendur gera það
Backend-as-a-Service veitur — Supabase, Firebase, Clerk, Auth0, Appwrite, Convex — bregðast allar öryggi í sama sniði: vettvangurinn sendir skynsöm sjálfgildi, þróunaraðilinn (eða AI-kóðunarverkfærið) seilist í flýtileið, og opin slóð opnast milli ókennds árásarmanns og gagna viðskiptavinarins. BaaS-rangstillingaskanni er eina verkfærið sem kannar þá slóð utan frá á sama hátt og árásarmaður myndi gera. Þessi grein kortleggur fimm endurteknar rangstillingarflokka, útskýrir hvernig FixVibe regnhlífar BaaS-skönnunin virkar, ber saman fjóra helstu veitur, og andstæðir BaaS-meðvituðum skanna gegn almennum DAST-verkfærum.
Hvers vegna BaaS-rangstillingar hafa endurtekið snið
Sérhver BaaS-vettvangur fylgir sömu byggingu: stýrðum bakenda með þunnu biðlara-SDK-i sem talar við hann úr vafranum. Vafra-vendandi biðlarinn þarf einhver skilríki — anon-lykil, útgefanlegan lykil, Firebase verkefnis-ID — til að auðkenna sig fyrir bakenda. Þau skilríki eru viljandi opinber; öryggi byggingarinnar hvílir á vettvangslags-aðgangsstýringum (RLS, reglum, leyfilistum) sem vinna sitt verk.
AI-kóðunarverkfæri byggja ofan á þessari byggingu án þess að innra sér vettvangsstýringarlagið. Þau tengja biðlara-SDK rétt, samþykkja sjálfgefnar leyfilegar reglur vettvangsins (sem eru til vegna kennsluvinsamleika) og senda. Endurtekið sniðið er: opinber skilríki + leyfilegt sjálfgilt reglur + vantandi yfirskrifning = gagnaopinberun. Fimm rangstillingarflokkarnir hér að neðan eru allir afbrigði af þessu sniði.
Fimm endurteknir rangstillingarflokkar
Þessir birtast yfir hverri BaaS-veitu. Heildarskönnun nær yfir alla fimm gegn hverri veitu í notkun:
Flokkur 1: Rangur lykill í vafraknippinu
Vafrinn sendir leyndar-/admin-lykilinn (Supabase service_role, Firebase Admin SDK einkalykil, Clerk sk_*, Auth0 biðlaraleynd) í stað opinbera/anon-jafngildisins. Vafrinn verður ótakmarkaður admin-biðlari. Nær yfir bundle-secrets-athugun FixVibe.
Flokkur 2: Aðgangsstýringarlag óvirkjað eða leyfilegt
RLS er slökkt, Firebase-reglur eru if true, Auth0-callback-listinn er jokeraður. Skilríkin í vafranum eru þau réttu — en vettvangslagsmörkin sem áttu að takmarka þau vinna ekki sitt verk.
Flokkur 3: Ókenndar lestur viðkvæmra auðlinda
Anon-læsileg Firestore-söfn, anon-listanlegar Supabase-geymslufötur, anon-aðgengilegt Auth0-stjórnunar-API. Skönnunin spyr: "án skilríkja, hvað get ég lesið?"
Flokkur 4: Test-mode afurðir í framleiðslu
Prófunarlyklar (pk_test_*, sb_test_*) í framleiðsluuppsetningu; dev-mode Firebase-forrit aðgengileg frá lifandi léninu; test-leigjenda Auth0-forrit með veikari stillingum en framleiðsla. Skönnunin ber saman keyrslulykla við væntanleg framleiðsluforskeyti.
Flokkur 5: Staðfesting vefkróks-undirskriftar vantar
Clerk-vefkrókar, Stripe-vefkrókar, Supabase-vefkrókar undirrita allir greiðslur sínar. Meðhöndlari sem staðfestir ekki undirskriftina er gagnagrunnsskrif-frumstig fyrir hvern árásarmann sem giskar á URL-ið. Greint í gegnum svarsnið — óundirrituð beiðni sem fær 200 þýðir að staðfesting sé sleppt.
Hvernig FixVibe regnhlífar BaaS-skönnunin virkar
BaaS-þrep FixVibe keyrir í þremur stigum, hvert framleiðir aðskildar niðurstöður:
- <strong>Stage 1 — provider fingerprinting.</strong> The scanner crawls the deployed app, parses every JavaScript chunk, and identifies which BaaS providers the app uses. Each provider has a distinctive runtime signature: Supabase uses <code>*.supabase.co</code>; Firebase uses <code>firebase.initializeApp({ projectId: ... })</code>; Clerk uses <code>pk_*</code> keys with a known prefix; Auth0 uses <code>clientId</code> and <code>domain</code>. The scanner records which providers are present and extracts the project identifiers.
- Þrep 2 — veitu-sértækar kannanir. Fyrir hverja greinda veitu keyrir skanninn veitu-sértæku athugunina:
baas.supabase-rlskannar PostgREST;baas.firebase-ruleskannar Firestore + RTDB + Storage;baas.clerk-auth0staðfestir forskeyti innknúinna lykla; bundle-secrets-athugunin staðfestir að engin þjónustustigs-skilríki hafi lekið. Hver könnun keyrir sjálfstætt — Supabase-niðurstaða lokar ekki á Firebase-skönnunina. - Þrep 3 — kross-veitu fylgni. Skanninn krosstilvísar niðurstöður. Lekur Supabase service-role-lykill ásamt vantandi RLS er alvarlegri en hvor niðurstaða ein og sér — skýrslan dregur þetta fram. Margar auðkennisveitur (Clerk + Auth0 + sérhannað auth) í sama forriti er skipulagsleg niðurstaða merkt fyrir endurskoðun.
Sérhver könnun er hlutlaus: í mesta lagi ein ókennd lestur á hverja auðlind, með svarsniði skráðu en raðainnihaldi aldrei síðunúmeruðu eða geymdu. Skrif- og breytingakannanir eru aðgangsstýrðar með staðfestu lénseignarhaldi — þær keyra aldrei gegn óstaðfestum markmiðum.
Hvað skanninn finnur á hverri veitu
Hver BaaS-veita hefur mismunandi yfirborð og mismunandi skönnunaraðferð. Hér er það sem nær yfir:
- Supabase: vantandi RLS á töflum, anon-listanlegar geymslufötur, lekur
service_role-JWT eðasb_secret_*-lykill í knippi, opin skemu í gegnum ókennda OpenAPI-listun. Sjáðu Supabase RLS-skanni og Geymslugátlisti. - Firebase:
if true-reglur á Firestore, Realtime Database og Cloud Storage; anon-listanlegar Storage-fötur; vantandi App Check-framfylgd. Sjáðu Firebase reglnaskanni og If-true reglnaútskýring. - Clerk: innknúnir
sk_*-leyndarlyklar,pk_test_*í framleiðslu, vantandi vefkróks-undirskriftarstaðfesting, joker leyfðir uppruna. Sjáðu Clerk-gátlisti. - Auth0: innknúnar biðlaraleyndir, Implicit-veiting virkjuð, joker callback-/útskráningar-URL, vantandi PKCE á SPA. Sjáðu Auth0-gátlisti.
Hvernig BaaS-skanni ber saman við almenn DAST- og SAST-verkfæri
BaaS-meðvitaður skanni gerir tiltekið verk sem önnur verkfæri gera ekki. Samanburðurinn:
| Þáttur | FixVibe (BaaS-meðvitað DAST) | Almennt DAST (Burp / ZAP) | SAST / SCA (Snyk / Semgrep) |
|---|---|---|---|
| BaaS-þekja | Innfæddar athuganir fyrir Supabase, Firebase, Clerk, Auth0, Appwrite | Almennur vef-skrið; engar veitu-sértækar kannanir | Kyrrstöðugreining á endurhverfu eingöngu; engin framleiðslustaðfesting |
| Uppsetningartími | URL → keyra → niðurstöður á 60 sekúndum | Klukkustundir: stilla spider, auth, umfang | Dagur: samþætta í endurhverfu CI |
| Hvað það sannar | Framleiðslukeyrslu-opinberun með HTTP-stigssönnun | Vefforrits-veikleika (XSS, SQLi); BaaS í gegnum handvirka stillingu | Kóðamynstur sem kunna eða kunna ekki að vera sett upp |
| JavaScript-knippisskoðun | Afkóðar JWT, passar leyndarforskeyti, gengur um búta | Takmarkað — strengja-grep eingöngu | Já, en aðeins endurhverfumegin, ekki uppsett |
| Samfelld skönnun | Mánaðarlega / við útgáfu í gegnum API + MCP | Handvirkt; stilltu áætlun sjálfur | Á hverri staðfestingu (gott fyrir kóða, blint fyrir keyrslu) |
| Verð fyrir einstaka / lítið teymi | Ókeypis stig; greitt frá $19/mán | Burp Pro $499/ár; ZAP ókeypis en miklar falskar jákvæðingar | Snyk ókeypis / Semgrep ókeypis; greidd stig frá $25/dev |
Hreinskilið umfang: hvað þessi skanni kemur ekki í staðinn fyrir
BaaS-meðvitaður DAST-skanni er afmarkað verkfæri, ekki heil öryggisáætlun. Hann gerir ekki:
- Komi í staðinn fyrir SAST eða SCA. Kyrrstöðugreining finnur háðar CVE (Snyk, Semgrep) og kóða-stigs veikleika (SonarQube) sem DAST-skanni getur ekki. Keyrðu báða.
- Komi í staðinn fyrir handvirka innbrotsprófun. Mannlegur innbrotsprófari finnur viðskiptarökfræðigalla, heimildarjaðartilfelli og keðjuðu veikleika sem enginn skanni getur. Ráðu innbrotsprófara fyrir stóra útgáfu eða samræmisendurskoðun.
- Endurskoði kóða eða endurhverfu fyrir leyndarmál í git-sögu. Bundle-secrets-athugunin nær yfir það sem er núverandi sett upp, ekki það sem var sögulega staðfest. Notaðu
git-secretseðagitleaksfyrir endurhverfuhreinlæti. - Nái yfir non-BaaS bakendaþjónustur. Ef forritið þitt notar sérhannaðan bakenda (Express, Rails, Django, FastAPI), skannar FixVibe HTTP-yfirborð þess en kannar ekki gagnagrunninn eða innviðina bak við hann. Það er almenn DAST + SAST landsvæði.
Algengar spurningar
Virkar regnhlífaskönnunin ef forritið mitt notar tvær BaaS-veitur (t.d. Supabase + Clerk)?
Já — fingrafararakning veitu og á-hverja-veitu kannanir eru sjálfstæðar. Skanninn greinir bæði, keyrir bæði athugunarsöfn og tilkynnir kross-veitu-fylgni (t.d. Supabase JWT-sniðmát frá Clerk sem sendir email sem fullyrðingu ásamt vantandi RLS).
Hvernig er þetta öðruvísi en að keyra Burp Suite Pro gegn forritinu mínu?
Burp er almennur DAST-vinnubekkur. Beint úr kassanum veit Burp ekki hvað PostgREST, Firestore eða Auth0-callback-slóðin er — þú verður handvirkt að stilla umfang, skrifa viðbætur og túlka svör. FixVibe kemur með innbyggðum BaaS-könnunum og BaaS-laga sönnunarsniði. Burp vinnur á almennri vefforritsþekju (XSS, SQLi, viðskiptarökfræði); FixVibe vinnur á BaaS-sértækum niðurstöðum.
Hvað með App Check (Firebase) eða staðfestingu (Apple / Google)?
App Check lætur tækifærissinnaðar utanaðkomandi skannanir skila 403 á hverri könnun — rétt niðurstaða fyrir illgjarn bot. FixVibe-skönnun frá óstaðfestum biðlara hegðar sér eins. Ef þú hefur App Check virkt og FixVibe tilkynnir samt niðurstöður, þýðir það að reglurnar þínar eru opnar fyrir staðfestum biðlurum líka, sem er raunveruleg áhætta. App Check + réttar reglur er dýpis-vörn mynstrið.
Getur skanninn staðfest lagfæringuna mína?
Já — endurkeyrðu eftir að hafa beitt lagfæringunni. Athugunar-ID (t.d. baas.supabase-rls) eru stöðug yfir keyrslur, svo þú getur mismunað niðurstöðum: niðurstaða sem var open í keyrslu 1 og fjarverandi í keyrslu 2 er sönnun þess að lagfæringin lenti.
Næstu skref
Keyrðu ókeypis FixVibe-skönnun gegn framleiðslu-URL þínum — BaaS-þreps-athuganir eru á öllum áskriftum, þar á meðal ókeypis stigi. Fyrir veitu-sértækar dýpkanir, einstöku greinarnar í þessum hluta ná yfir hverja veitu í smáatriðum: Supabase RLS, Supabase service-lykla-opinberun, Supabase geymsla, Firebase-reglur, Firebase if-true, Clerk, og Auth0.