FixVibe
Covered by FixVibehigh

Supabase सुरक्षा चेकलिस्ट: RLS, API कुञ्जीहरू, र भण्डारण

यस अनुसन्धान लेखले Supabase परियोजनाहरूका लागि महत्वपूर्ण सुरक्षा कन्फिगरेसनहरू रेखांकित गर्दछ। यसले डाटाबेस पङ्क्तिहरू सुरक्षित गर्नका लागि रो लेभल सेक्युरिटी (RLS) को उचित कार्यान्वयनमा केन्द्रित छ, anon र service_role API कुञ्जीहरूको सुरक्षित ह्यान्डलिङ, र डाटा एक्सपोजर र सुनाको पहुँचको जोखिमलाई कम गर्न भण्डारण बाकेटहरूको पहुँच नियन्त्रण लागू गर्न।

CWE-284CWE-668

हुक

Supabase परियोजना सुरक्षित गर्न API कुञ्जी व्यवस्थापन, डाटाबेस सुरक्षा, र भण्डारण अनुमतिहरूमा फोकस गर्ने बहु-स्तरीय दृष्टिकोण चाहिन्छ। [S1] गलत तरिकाले कन्फिगर गरिएको पङ्क्ति स्तर सुरक्षा (RLS) वा खुला संवेदनशील कुञ्जीहरूले महत्त्वपूर्ण डेटा एक्सपोजर घटनाहरू निम्त्याउन सक्छ। [S2] [S3]

के परिवर्तन भयो

यो अनुसन्धानले आधिकारिक वास्तुकला दिशानिर्देशहरूमा आधारित Supabase वातावरणहरूको लागि कोर सुरक्षा नियन्त्रणहरू समेकित गर्दछ। [S1] यसले पूर्वनिर्धारित विकास कन्फिगरेसनबाट उत्पादन-कठोर मुद्राहरूमा संक्रमणमा ध्यान केन्द्रित गर्दछ, विशेष गरी पहुँच नियन्त्रण संयन्त्रको सन्दर्भमा। [S2] [S3]

को प्रभावित छन्

Supabase ब्याकएन्ड-ए-ए-सर्भिस (BaaS) को रूपमा प्रयोग गर्ने अनुप्रयोगहरू प्रभावित हुन्छन्, विशेष गरी प्रयोगकर्ता-विशेष डेटा वा निजी सम्पत्तिहरू ह्यान्डल गर्नेहरू। [S2] विकासकर्ताहरू जसले service_role कुञ्जी ग्राहक-साइड बन्डलहरूमा समावेश गर्दछ वा RLS सक्षम गर्न असफल हुन्छन् उच्च जोखिममा छन्। [S1]

समस्या कसरी काम गर्दछ

Supabase ले डाटा पहुँच प्रतिबन्ध गर्न PostgreSQL को पङ्क्ति स्तर सुरक्षाको लाभ उठाउँछ। [S2] पूर्वनिर्धारित रूपमा, यदि RLS तालिकामा सक्षम गरिएको छैन भने, anon कुञ्जीसँग कुनै पनि प्रयोगकर्ता - जुन प्राय: सार्वजनिक हुन्छ - सबै रेकर्डहरू पहुँच गर्न सक्छ। [S1] त्यसैगरी, Supabase भण्डारणलाई कुन प्रयोगकर्ता वा भूमिकाहरूले फाइल बाल्टीहरूमा सञ्चालन गर्न सक्छन् भनेर परिभाषित गर्न स्पष्ट नीतिहरू चाहिन्छ। [S3]

आक्रमणकारीले के पाउँछ

सार्वजनिक API कुञ्जी भएको आक्रमणकारीले RLS हराइरहेको तालिकाहरू पढ्न, परिमार्जन गर्न वा अन्य प्रयोगकर्ताहरूसँग सम्बन्धित डाटा मेटाउनको लागि शोषण गर्न सक्छ। [S1] [S2] भण्डारण बाल्टीहरूमा अनाधिकृत पहुँचले निजी प्रयोगकर्ता फाइलहरूको प्रदर्शन वा महत्त्वपूर्ण अनुप्रयोग सम्पत्तिहरू मेटाउन सक्छ। [S3]

कसरी FixVibe यसको लागि परीक्षण गर्दछ

FixVibe ले अब यसलाई यसको Supabase जाँचहरूको भागको रूपमा कभर गर्दछ। baas.supabase-security-checklist-backfill ले सार्वजनिक Supabase भण्डारण बाकेट मेटाडेटा, बेनामी वस्तु-सूचीकरण एक्सपोजर, संवेदनशील बाल्टी नामकरण, र सार्वजनिक अनन सीमाबाट अनन-बाउन्ड भण्डारण संकेतहरूको समीक्षा गर्दछ। सम्बन्धित प्रत्यक्ष जाँचहरूले सेवा-भूमिका कुञ्जी एक्सपोजर, Supabase REST/RLS मुद्रा, र RLS छुटेको लागि भण्डार SQL माइग्रेसनहरू निरीक्षण गर्दछ।

के ठीक गर्ने

डाटाबेस तालिकाहरूमा सधैं पङ्क्ति स्तर सुरक्षा सक्षम गर्नुहोस् र प्रमाणीकृत प्रयोगकर्ताहरूको लागि दानेदार नीतिहरू लागू गर्नुहोस्। [S2] सुनिश्चित गर्नुहोस् कि ग्राहक-साइड कोडमा 'anon' कुञ्जी मात्र प्रयोग गरिएको छ, जबकि 'service_role' कुञ्जी सर्भरमा रहन्छ। [S1] भण्डारण पहुँच नियन्त्रण कन्फिगर गर्नुहोस् कि फाइल बाल्टीहरू पूर्वनिर्धारित रूपमा निजी छन् र पहुँच परिभाषित सुरक्षा नीतिहरू मार्फत मात्र प्रदान गरिन्छ। [S3]