FixVibe
Covered by FixVibehigh

Supabase सुरक्षा चेकलिस्ट: RLS, API की आणि स्टोरेज

हा संशोधन लेख Supabase प्रकल्पांसाठी गंभीर सुरक्षा कॉन्फिगरेशनची रूपरेषा देतो. हे डेटाबेस पंक्तींचे संरक्षण करण्यासाठी रो लेव्हल सिक्युरिटी (RLS) च्या योग्य अंमलबजावणीवर, anon आणि service_role API की सुरक्षितपणे हाताळण्यावर आणि डेटा एक्सपोजरचे धोके कमी करण्यासाठी आणि स्टोरेज बकेट्ससाठी ऍक्सेस कंट्रोल लागू करण्यावर लक्ष केंद्रित करते.

CWE-284CWE-668

हुक

Supabase प्रकल्प सुरक्षित करण्यासाठी API की व्यवस्थापन, डेटाबेस सुरक्षा आणि स्टोरेज परवानग्या यावर लक्ष केंद्रित करणारा बहुस्तरीय दृष्टीकोन आवश्यक आहे. [S1] अयोग्यरीत्या कॉन्फिगर केलेली रो लेव्हल सिक्युरिटी (RLS) किंवा उघड झालेल्या संवेदनशील की महत्त्वाच्या डेटा एक्सपोजर घटनांना कारणीभूत ठरू शकतात. [S2] [S3]

काय बदलले

हे संशोधन अधिकृत आर्किटेक्चर मार्गदर्शक तत्त्वांवर आधारित Supabase वातावरणासाठी कोर सुरक्षा नियंत्रणे एकत्रित करते. [S1] हे डीफॉल्ट डेव्हलपमेंट कॉन्फिगरेशनपासून उत्पादन-कठोर मुद्रांकडे संक्रमणावर लक्ष केंद्रित करते, विशेषत: प्रवेश नियंत्रण यंत्रणेशी संबंधित. [S2] [S3]

कोण प्रभावित आहे

Supabase चा बॅकएंड-ए-ए-सर्व्हिस (BaaS) म्हणून वापर करणारे अनुप्रयोग प्रभावित होतात, विशेषत: जे वापरकर्ता-विशिष्ट डेटा किंवा खाजगी मालमत्ता हाताळतात. [S2] डेव्हलपर जे service_role की क्लायंट-साइड बंडलमध्ये समाविष्ट करतात किंवा RLS सक्षम करण्यात अयशस्वी होतात त्यांना जास्त धोका असतो. [S1]

समस्या कशी कार्य करते

Supabase डेटा प्रवेश प्रतिबंधित करण्यासाठी PostgreSQL च्या रो लेव्हल सिक्युरिटीचा लाभ घेते. [S2] डीफॉल्टनुसार, टेबलवर RLS सक्षम नसल्यास, anon की असलेला कोणताही वापरकर्ता—जे अनेकदा सार्वजनिक असते—सर्व रेकॉर्डमध्ये प्रवेश करू शकतो. [S1] त्याचप्रमाणे, Supabase स्टोरेजसाठी कोणते वापरकर्ते किंवा भूमिका फाइल बकेटवर ऑपरेशन करू शकतात हे परिभाषित करण्यासाठी स्पष्ट धोरणे आवश्यक आहेत. [S3]

हल्लेखोराला काय मिळते

सार्वजनिक API की असलेला आक्रमणकर्ता इतर वापरकर्त्यांचा डेटा वाचण्यासाठी, सुधारण्यासाठी किंवा हटवण्यासाठी RLS गहाळ सारण्यांचा वापर करू शकतो. [S1] [S2] स्टोरेज बकेट्समध्ये अनधिकृत प्रवेशामुळे खाजगी वापरकर्ता फाइल्स उघडकीस येऊ शकतात किंवा गंभीर अनुप्रयोग मालमत्ता हटवल्या जाऊ शकतात. [S3]

त्यासाठी FixVibe चाचण्या कशा करतात

FixVibe आता हे त्याच्या Supabase तपासणीचा भाग म्हणून कव्हर करते. baas.supabase-security-checklist-backfill सार्वजनिक Supabase स्टोरेज बकेट मेटाडेटा, निनावी ऑब्जेक्ट-लिस्टिंग एक्सपोजर, संवेदनशील बकेट नेमिंग आणि सार्वजनिक अनन सीमेवरील अनन-बाउंड स्टोरेज सिग्नलचे पुनरावलोकन करते. संबंधित लाइव्ह चेक सर्व्हिस-रोल की एक्सपोजर, Supabase REST/RLS पोस्चर आणि RLS गहाळ झाल्याबद्दल रिपॉझिटरी SQL स्थलांतराची तपासणी करतात.

काय दुरुस्त करायचे

डेटाबेस टेबलवर नेहमी पंक्ती स्तर सुरक्षा सक्षम करा आणि प्रमाणीकृत वापरकर्त्यांसाठी ग्रॅन्युलर पॉलिसी लागू करा. [S2] याची खात्री करा की क्लायंट-साइड कोडमध्ये फक्त 'anon' की वापरली जाते, तर 'service_role' की सर्व्हरवर राहते. [S1] हे सुनिश्चित करण्यासाठी स्टोरेज ऍक्सेस कंट्रोल कॉन्फिगर करा की फाइल बकेट्स बाय डीफॉल्ट खाजगी आहेत आणि प्रवेश फक्त परिभाषित सुरक्षा धोरणांद्वारे मंजूर केला जातो. [S3]