FixVibe
Covered by FixVibehigh

បញ្ជីត្រួតពិនិត្យសុវត្ថិភាព Supabase៖ RLS, API សោ និងការផ្ទុក

ZXCVFIXVIBESEG ២ អត្ថបទស្រាវជ្រាវនេះរៀបរាប់អំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពសំខាន់ៗសម្រាប់គម្រោង Supabase ។ វាផ្តោតលើការអនុវត្តត្រឹមត្រូវនៃ Row Level Security (RLS) ដើម្បីការពារជួរដេកមូលដ្ឋានទិន្នន័យ ការគ្រប់គ្រងសុវត្ថិភាពនៃកូនសោ anon និង service_role API និងការពង្រឹងការគ្រប់គ្រងការចូលប្រើសម្រាប់ធុងផ្ទុក ដើម្បីកាត់បន្ថយហានិភ័យនៃការប៉ះពាល់ទិន្នន័យ និងការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។

CWE-284CWE-668

ទំពក់

ZXCVFIXVIBESEG ៤ ការធានាគម្រោង Supabase តម្រូវឱ្យមានវិធីសាស្រ្តពហុស្រទាប់ដែលផ្តោតលើការគ្រប់គ្រងសោ API សុវត្ថិភាពមូលដ្ឋានទិន្នន័យ និងការអនុញ្ញាតការផ្ទុក។ [S1] ការកំណត់សុវត្ថិភាពកម្រិតជួរដេកមិនត្រឹមត្រូវ (RLS) ឬសោររសើបដែលបានលាតត្រដាងអាចនាំឱ្យមានឧប្បត្តិហេតុនៃការប៉ះពាល់ទិន្នន័យសំខាន់ៗ។ [S2] [S3]

ZXCVFIXVIBESEG ៥

តើមានអ្វីផ្លាស់ប្តូរ

ZXCVFIXVIBESEG ៦ ការស្រាវជ្រាវនេះរួមបញ្ចូលការគ្រប់គ្រងសុវត្ថិភាពស្នូលសម្រាប់បរិស្ថាន Supabase ដោយផ្អែកលើគោលការណ៍ណែនាំស្ថាបត្យកម្មផ្លូវការ។ [S1] វាផ្តោតលើការផ្លាស់ប្តូរពីការកំណត់រចនាសម្ព័ន្ធការអភិវឌ្ឍន៍លំនាំដើមទៅជាទម្រង់រឹងនៃផលិតកម្ម ជាពិសេសទាក់ទងនឹងយន្តការគ្រប់គ្រងការចូលប្រើប្រាស់។ [S2] [S3]

ZXCVFIXVIBESEG ៧

អ្នកណាប៉ះពាល់

ZXCVFIXVIBESEG ៨ កម្មវិធីដែលប្រើប្រាស់ Supabase ជា Backend-as-a-Service (BaaS) ត្រូវបានរងផលប៉ះពាល់ ជាពិសេសកម្មវិធីដែលគ្រប់គ្រងទិន្នន័យជាក់លាក់របស់អ្នកប្រើប្រាស់ ឬទ្រព្យសម្បត្តិឯកជន។ [S2] អ្នកអភិវឌ្ឍន៍ដែលរួមបញ្ចូលសោ service_role នៅក្នុងកញ្ចប់ផ្នែកខាងអតិថិជន ឬបរាជ័យក្នុងការបើក RLS មានហានិភ័យខ្ពស់។ [S1]

របៀបដែលបញ្ហាដំណើរការ

ZXCVFIXVIBESEG ១០ Supabase ប្រើសុវត្ថិភាពកម្រិតជួរដេករបស់ PostgreSQL ដើម្បីរឹតបន្តឹងការចូលប្រើទិន្នន័យ។ [S2] តាមលំនាំដើម ប្រសិនបើ RLS មិនត្រូវបានបើកនៅលើតុទេ អ្នកប្រើប្រាស់ណាដែលមានសោ anon—ដែលជារឿយៗជាសាធារណៈ—អាចចូលប្រើកំណត់ត្រាទាំងអស់។ [S1] ស្រដៀងគ្នានេះដែរ Supabase Storage ទាមទារគោលការណ៍ច្បាស់លាស់ដើម្បីកំណត់ថាអ្នកប្រើប្រាស់ ឬតួនាទីណាមួយអាចធ្វើប្រតិបត្តិការលើធុងឯកសារ។ [S3]

ZXCVFIXVIBESEG ១១

អ្វីដែលអ្នកវាយប្រហារទទួលបាន

ZXCVFIXVIBESEG ១២ អ្នកវាយប្រហារដែលមានសោសាធារណៈ API អាចទាញយកតារាងដែលបាត់ RLS ដើម្បីអាន កែប្រែ ឬលុបទិន្នន័យដែលជាកម្មសិទ្ធិរបស់អ្នកប្រើប្រាស់ផ្សេងទៀត។ [S1] [S2] ការចូលប្រើដោយគ្មានការអនុញ្ញាតទៅធុងផ្ទុកអាចនាំទៅដល់ការលេចចេញឯកសារអ្នកប្រើប្រាស់ឯកជន ឬការលុបទ្រព្យសម្បត្តិកម្មវិធីសំខាន់ៗ។ [S3]

ZXCVFIXVIBESEG ១៣

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

FixVibe ឥឡូវនេះគ្របដណ្តប់វាជាផ្នែកមួយនៃការត្រួតពិនិត្យ Supabase របស់វា។ baas.supabase-security-checklist-backfill ពិនិត្យមើលទិន្នន័យមេតាធុងផ្ទុក Supabase សាធារណៈ ការបង្ហាញបញ្ជីវត្ថុអនាមិក ការដាក់ឈ្មោះធុងដ៏រសើប និងសញ្ញាផ្ទុកអនាមិកពីព្រំដែនអាណាន់សាធារណៈ។ ការត្រួតពិនិត្យបន្តផ្ទាល់ដែលពាក់ព័ន្ធ ពិនិត្យមើលការលេចចេញនូវសោរតួនាទីសេវាកម្ម ទីតាំង Supabase REST/RLS និងការផ្លាស់ប្តូរឃ្លាំង SQL សម្រាប់ RLS ដែលបាត់។

ZXCVFIXVIBESEG ១៥ ##តើត្រូវជួសជុលអ្វីខ្លះ?

បើក Row Level Security ជានិច្ចនៅលើតារាងទិន្នន័យ និងអនុវត្តគោលការណ៍លម្អិតសម្រាប់អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់។ [S2] សូមប្រាកដថាមានតែគ្រាប់ចុច 'anon' ប៉ុណ្ណោះដែលត្រូវបានប្រើប្រាស់នៅក្នុងកូដភាគីម៉ាស៊ីនភ្ញៀវ ខណៈដែលកូនសោ 'service_role' នៅតែមាននៅលើម៉ាស៊ីនមេ។ [S1] កំណត់រចនាសម្ព័ន្ធការគ្រប់គ្រងការចូលប្រើកន្លែងផ្ទុក ដើម្បីធានាថាធុងឯកសារមានលក្ខណៈឯកជនតាមលំនាំដើម ហើយការចូលប្រើត្រូវបានផ្តល់តែតាមរយៈគោលការណ៍សុវត្ថិភាពដែលបានកំណត់ប៉ុណ្ណោះ។ [S3]