FixVibe
Covered by FixVibehigh

Supabase ਸੁਰੱਖਿਆ ਚੈੱਕਲਿਸਟ: RLS, API ਕੁੰਜੀਆਂ, ਅਤੇ ਸਟੋਰੇਜ

ਇਹ ਖੋਜ ਲੇਖ Supabase ਪ੍ਰੋਜੈਕਟਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾਵਾਂ ਦੀ ਰੂਪਰੇਖਾ ਦਿੰਦਾ ਹੈ। ਇਹ ਡੇਟਾਬੇਸ ਕਤਾਰਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਰੋ-ਲੈਵਲ ਸੁਰੱਖਿਆ (RLS) ਦੇ ਸਹੀ ਅਮਲ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ, anon ਅਤੇ service_role API ਕੁੰਜੀਆਂ ਦੀ ਸੁਰੱਖਿਅਤ ਹੈਂਡਲਿੰਗ, ਅਤੇ ਡਾਟਾ ਐਕਸਪੋਜਰ ਅਤੇ ਸੁਨਾ ਐਕਸੈਸ ਹੋਣ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਸਟੋਰੇਜ਼ ਬਕਟਾਂ ਲਈ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

CWE-284CWE-668

ਹੁੱਕ

Supabase ਪ੍ਰੋਜੈਕਟ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ API ਕੁੰਜੀ ਪ੍ਰਬੰਧਨ, ਡਾਟਾਬੇਸ ਸੁਰੱਖਿਆ, ਅਤੇ ਸਟੋਰੇਜ ਅਨੁਮਤੀਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਲਈ ਬਹੁ-ਪੱਧਰੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। [S1] ਗਲਤ ਢੰਗ ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤੀ ਕਤਾਰ ਪੱਧਰ ਸੁਰੱਖਿਆ (RLS) ਜਾਂ ਪ੍ਰਗਟ ਸੰਵੇਦਨਸ਼ੀਲ ਕੁੰਜੀਆਂ ਮਹੱਤਵਪੂਰਨ ਡਾਟਾ ਐਕਸਪੋਜ਼ਰ ਘਟਨਾਵਾਂ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀਆਂ ਹਨ। [S2] [S3]

ਕੀ ਬਦਲ ਗਿਆ

ਇਹ ਖੋਜ ਅਧਿਕਾਰਤ ਆਰਕੀਟੈਕਚਰ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ਾਂ ਦੇ ਆਧਾਰ 'ਤੇ Supabase ਵਾਤਾਵਰਨ ਲਈ ਕੋਰ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਇਕਸਾਰ ਕਰਦੀ ਹੈ। [S1] ਇਹ ਡਿਫੌਲਟ ਡਿਵੈਲਪਮੈਂਟ ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਤੋਂ ਉਤਪਾਦਨ-ਕਠੋਰ ਆਸਣ ਤੱਕ ਤਬਦੀਲੀ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਵਿਧੀਆਂ ਦੇ ਸੰਬੰਧ ਵਿੱਚ। [S2] [S3]

ਕੌਣ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦਾ ਹੈ

Supabase ਨੂੰ ਬੈਕਐਂਡ-ਏ-ਏ-ਸਰਵਿਸ (BaaS) ਵਜੋਂ ਵਰਤਣ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦੀਆਂ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹ ਜੋ ਉਪਭੋਗਤਾ-ਵਿਸ਼ੇਸ਼ ਡੇਟਾ ਜਾਂ ਨਿੱਜੀ ਸੰਪਤੀਆਂ ਨੂੰ ਸੰਭਾਲਦੀਆਂ ਹਨ। [S2] ਡਿਵੈਲਪਰ ਜੋ service_role ਕੁੰਜੀ ਨੂੰ ਕਲਾਇੰਟ-ਸਾਈਡ ਬੰਡਲਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ ਜਾਂ RLS ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ, ਉੱਚ ਜੋਖਮ ਵਿੱਚ ਹਨ। [S1]

ਮੁੱਦਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

Supabase ਡਾਟਾ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ PostgreSQL ਦੀ ਕਤਾਰ ਪੱਧਰ ਸੁਰੱਖਿਆ ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ। [S2] ਮੂਲ ਰੂਪ ਵਿੱਚ, ਜੇਕਰ RLS ਇੱਕ ਟੇਬਲ 'ਤੇ ਸਮਰੱਥ ਨਹੀਂ ਹੈ, ਤਾਂ anon ਕੁੰਜੀ ਵਾਲਾ ਕੋਈ ਵੀ ਉਪਭੋਗਤਾ — ਜੋ ਕਿ ਅਕਸਰ ਜਨਤਕ ਹੁੰਦਾ ਹੈ — ਸਾਰੇ ਰਿਕਾਰਡਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ। [S1] ਇਸੇ ਤਰ੍ਹਾਂ, Supabase ਸਟੋਰੇਜ਼ ਨੂੰ ਇਹ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਲਈ ਸਪੱਸ਼ਟ ਨੀਤੀਆਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਕਿ ਕਿਹੜੇ ਉਪਭੋਗਤਾ ਜਾਂ ਭੂਮਿਕਾਵਾਂ ਫਾਈਲ ਬਕਟਾਂ 'ਤੇ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦੀਆਂ ਹਨ। [S3]

ਹਮਲਾਵਰ ਨੂੰ ਕੀ ਮਿਲਦਾ ਹੈ

ਇੱਕ ਜਨਤਕ API ਕੁੰਜੀ ਰੱਖਣ ਵਾਲਾ ਇੱਕ ਹਮਲਾਵਰ ਦੂਜੇ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਪੜ੍ਹਨ, ਸੋਧਣ ਜਾਂ ਮਿਟਾਉਣ ਲਈ RLS ਗੁੰਮ ਟੇਬਲਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦਾ ਹੈ। [S1] [S2] ਸਟੋਰੇਜ ਬਾਲਟੀਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨਿੱਜੀ ਉਪਭੋਗਤਾ ਫਾਈਲਾਂ ਦੇ ਐਕਸਪੋਜਰ ਜਾਂ ਮਹੱਤਵਪੂਰਣ ਐਪਲੀਕੇਸ਼ਨ ਸੰਪਤੀਆਂ ਨੂੰ ਮਿਟਾਉਣ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ। [S3]

FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ

FixVibe ਹੁਣ ਇਸਨੂੰ ਇਸਦੇ Supabase ਜਾਂਚਾਂ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਕਵਰ ਕਰਦਾ ਹੈ। baas.supabase-security-checklist-backfill ਜਨਤਕ Supabase ਸਟੋਰੇਜ਼ ਬਾਲਟੀ ਮੈਟਾਡੇਟਾ, ਅਗਿਆਤ ਆਬਜੈਕਟ-ਲਿਸਟਿੰਗ ਐਕਸਪੋਜ਼ਰ, ਸੰਵੇਦਨਸ਼ੀਲ ਬਾਲਟੀ ਨਾਮਕਰਨ, ਅਤੇ ਜਨਤਕ ਐਨੋਨ ਸੀਮਾ ਤੋਂ ਐਨੋਨ-ਬਾਊਂਡ ਸਟੋਰੇਜ ਸਿਗਨਲਾਂ ਦੀ ਸਮੀਖਿਆ ਕਰਦਾ ਹੈ। ਸੰਬੰਧਿਤ ਲਾਈਵ ਜਾਂਚਾਂ ਸੇਵਾ-ਰੋਲ ਕੁੰਜੀ ਐਕਸਪੋਜ਼ਰ, Supabase REST/RLS ਆਸਣ, ਅਤੇ RLS ਗੁੰਮ ਹੋਣ ਲਈ ਰਿਪੋਜ਼ਟਰੀ SQL ਮਾਈਗ੍ਰੇਸ਼ਨ ਦਾ ਨਿਰੀਖਣ ਕਰਦੀਆਂ ਹਨ।

ਕੀ ਠੀਕ ਕਰਨਾ ਹੈ

ਹਮੇਸ਼ਾ ਡਾਟਾਬੇਸ ਟੇਬਲ 'ਤੇ ਕਤਾਰ ਪੱਧਰ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਦਾਣੇਦਾਰ ਨੀਤੀਆਂ ਲਾਗੂ ਕਰੋ। [S2] ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਕਲਾਇੰਟ-ਸਾਈਡ ਕੋਡ ਵਿੱਚ ਸਿਰਫ਼ 'ਐਨੋਨ' ਕੁੰਜੀ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਜਦੋਂ ਕਿ 'ਸੇਵਾ_ਰੋਲ' ਕੁੰਜੀ ਸਰਵਰ 'ਤੇ ਰਹਿੰਦੀ ਹੈ। [S1] ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਸਟੋਰੇਜ਼ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ ਕਿ ਫਾਈਲ ਬਕਟਾਂ ਮੂਲ ਰੂਪ ਵਿੱਚ ਨਿੱਜੀ ਹਨ ਅਤੇ ਐਕਸੈਸ ਕੇਵਲ ਪਰਿਭਾਸ਼ਿਤ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਦੁਆਰਾ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। [S3]