FixVibe
Covered by FixVibehigh

Supabase Қауіпсіздікті тексеру тізімі: RLS, API кілттері және сақтау

Бұл зерттеу мақаласы Supabase жобалары үшін маңызды қауіпсіздік конфигурацияларын сипаттайды. Ол дерекқор жолдарын қорғау үшін Row Level Security (RLS) дұрыс орындалуына, anon және service_role API кілттерін қауіпсіз өңдеуге және деректерге әсер ету және рұқсатсыз қол жеткізу қаупін азайту үшін сақтау шелектеріне кіруді басқаруды күшейтуге бағытталған.

CWE-284CWE-668

Ілмек

Supabase жобасын қорғау API кілттерді басқаруға, дерекқор қауіпсіздігіне және сақтау рұқсаттарына бағытталған көп деңгейлі тәсілді қажет етеді. [S1] Дұрыс конфигурацияланбаған жол деңгейі қауіпсіздігі (RLS) немесе ашылған сезімтал кілттер елеулі деректер экспозициясына әкелуі мүмкін. [S2] [S3]

Не өзгерді

Бұл зерттеу ресми архитектуралық нұсқауларға негізделген Supabase орталары үшін негізгі қауіпсіздік басқару элементтерін біріктіреді. [S1] Ол әдепкі әзірлеу конфигурацияларынан өндірісте шыңдалған қалыптарға, әсіресе қол жеткізуді басқару механизмдеріне көшуге бағытталған. [S2] [S3]

Кім әсер етеді

Supabase қызметін сервер ретінде пайдаланатын қолданбалар (BaaS) әсер етеді, әсіресе пайдаланушыға арналған деректерді немесе жеке активтерді өңдейтін қолданбалар. [S2] service_role кілтін клиенттік бумаларға қосатын немесе RLS қоса алмаған әзірлеушілер жоғары тәуекелге ұшырайды. [S1]

Мәселе қалай жұмыс істейді

Supabase деректерге қол жеткізуді шектеу үшін PostgreSQL жол деңгейінің қауіпсіздігін пайдаланады. [S2] Әдепкі бойынша, кестеде RLS қосылмаған болса, anon кілті бар кез келген пайдаланушы (көбінесе жалпыға ортақ) барлық жазбаларға қол жеткізе алады. [S1] Сол сияқты, Supabase Сақтау орны қай пайдаланушылар немесе рөлдер файлдар қалталарында әрекеттерді орындай алатынын анықтау үшін нақты саясаттарды қажет етеді. [S3]

Шабуылдаушы не алады

Жалпы API кілті бар шабуылдаушы RLS жоқ кестелерді басқа пайдаланушыларға тиесілі деректерді оқу, өзгерту немесе жою үшін пайдалана алады. [S1] [S2] Жад шелектеріне рұқсатсыз кіру жеке пайдаланушы файлдарының ашылуына немесе маңызды қолданба активтерінің жойылуына әкелуі мүмкін. [S3]

FixVibe оны қалай тексереді

FixVibe енді мұны Supabase тексерулерінің бір бөлігі ретінде қамтиды. baas.supabase-security-checklist-backfill жалпыға ортақ Supabase Жад шелегі метадеректерін, анонимді нысандар тізімінің экспозициясын, сезімтал шелек атауын және жалпы анон шекарасынан анонға байланысты сақтау сигналдарын қарайды. Қатысты тікелей тексерулер қызмет рөлі кілтінің экспозициясын, Supabase REST/RLS қалпын және RLS жоқтығына репозитарий SQL тасымалдауларын тексереді.

Нені түзету керек

Дерекқор кестелерінде әрқашан жол деңгейінің қауіпсіздігін қосыңыз және аутентификацияланған пайдаланушылар үшін түйіршікті саясаттарды орындаңыз. [S2] Клиенттік кодта тек "anon" кілті пайдаланылғанына, "қызмет_рөлі" кілті серверде қалатынына көз жеткізіңіз. [S1] Файл шелектерінің әдепкі бойынша жеке болуын және рұқсат тек анықталған қауіпсіздік саясаттары арқылы берілетінін қамтамасыз ету үшін Сақтауға кіруді басқаруды конфигурациялаңыз. [S3]