FixVibe
Covered by FixVibehigh

Supabase Lista ta' Kontroll tas-Sigurtà: RLS, API Ċwievet, u Ħażna

Dan l-artikolu ta 'riċerka jiddeskrivi konfigurazzjonijiet ta' sigurtà kritiċi għal proġetti Supabase. Hija tiffoka fuq l-implimentazzjoni xierqa tas-Sigurtà fil-Livell tar-Ringiela (RLS) biex tipproteġi r-ringieli tad-database, l-immaniġġjar sigur ta 'ċwievet anon u service_role API, u l-infurzar tal-kontroll tal-aċċess għall-bramel tal-ħażna biex jittaffew ir-riskji ta' espożizzjoni tad-dejta u aċċess mhux awtorizzat.

CWE-284CWE-668

Il-ganċ

L-iżgurar ta 'proġett Supabase jeħtieġ approċċ b'ħafna saffi li jiffoka fuq il-ġestjoni taċ-ċwievet API, is-sigurtà tad-database, u l-permessi tal-ħażna. [S1] Sigurtà fil-Livell ta' Ringiela kkonfigurata ħażin (RLS) jew ċwievet sensittivi esposti jistgħu jwasslu għal inċidenti sinifikanti ta' espożizzjoni tad-dejta. [S2] [S3]

Dak li nbidel

Din ir-riċerka tikkonsolida l-kontrolli ewlenin tas-sigurtà għall-ambjenti Supabase ibbażati fuq linji gwida uffiċjali tal-arkitettura. [S1] Huwa jiffoka fuq it-tranżizzjoni minn konfigurazzjonijiet ta 'żvilupp awtomatiċi għal qagħdiet imwebbsa mill-produzzjoni, speċifikament rigward mekkaniżmi ta' kontroll ta 'aċċess. [S2] [S3]

Min hu affettwat

Applikazzjonijiet li jutilizzaw Supabase bħala Backend-as-a-Service (BaaS) huma affettwati, partikolarment dawk li jimmaniġġjaw data speċifika għall-utent jew assi privati. [S2] L-iżviluppaturi li jinkludu ċ-ċavetta service_role f'qatet min-naħa tal-klijent jew jonqsu milli jippermettu RLS huma f'riskju għoli. [S1]

Kif taħdem il-kwistjoni

Supabase jisfrutta s-Sigurtà fil-Livell tar-Ringiela ta' PostgreSQL biex jirrestrinġi l-aċċess għad-dejta. [S2] B'mod awtomatiku, jekk RLS ma jkunx attivat fuq mejda, kwalunkwe utent biċ-ċavetta anon—li ħafna drabi tkun pubblika—jista' jaċċessa r-rekords kollha. [S1] Bl-istess mod, il-Ħażna Supabase teħtieġ politiki espliċiti biex jiddefinixxu liema utenti jew rwoli jistgħu jwettqu operazzjonijiet fuq bramel tal-fajls. [S3]

Dak li jattakka

Attakkant li jkollu ċavetta pubblika API jista' jisfrutta tabelli nieqsa RLS biex jaqra, jimmodifika jew iħassar data li tappartjeni lil utenti oħra. [S1] [S2] Aċċess mhux awtorizzat għal bramel tal-ħażna jista' jwassal għall-espożizzjoni ta' fajls tal-utenti privati ​​jew it-tħassir ta' assi kritiċi tal-applikazzjoni. [S3]

Kif FixVibe jittestja għaliha

FixVibe issa jkopri dan bħala parti mill-kontrolli tiegħu Supabase. baas.supabase-security-checklist-backfill tirrevedi pubblika Supabase Metadata tal-barmil tal-ħażna, espożizzjoni anonima għall-elenkar tal-oġġetti, ismijiet sensittivi tal-barmil, u sinjali tal-Ħażna mhux marbuta mill-konfini pubbliku anon. Kontrolli ħajjin relatati jispezzjonaw l-espożizzjoni taċ-ċavetta tar-rwol tas-servizz, il-pożizzjoni Supabase REST/RLS, u migrazzjonijiet SQL ta' repożitorju għal RLS nieqsa.

X'għandek tirranġa

Dejjem ippermetti Row Level Security fuq it-tabelli tad-database u implimenta politiki granulari għall-utenti awtentikati. [S2] Żgura li ċ-ċavetta 'anon' biss tintuża fil-kodiċi tan-naħa tal-klijent, filwaqt li ċ-ċavetta 'service_role' tibqa' fuq is-server. [S1] Ikkonfigura l-Kontroll tal-Aċċess għall-Ħażna biex tiżgura li l-buckets tal-fajls huma privati ​​b'mod awtomatiku u l-aċċess jingħata biss permezz ta' politiki ta' sigurtà definiti. [S3]