FixVibe
Covered by FixVibehigh

Firebase امنیتي قواعد: د غیر مجاز ډیټا افشا کیدو مخه نیسي

د Firebase امنیت مقررات د فایرسټور او کلاوډ ذخیره په کارولو سره د سرور پرته غوښتنلیکونو لپاره لومړني دفاع دي. کله چې دا مقررات خورا جواز لرونکي وي، لکه په تولید کې د نړیوال لوستلو یا لیکلو لاسرسي ته اجازه ورکول، برید کونکي کولی شي د حساس معلوماتو غلا یا حذف کولو لپاره د غوښتنلیک منطق تعقیب کړي. دا څیړنه عام غلط تشکیلات لټوي، د 'ټیسټ حالت' ډیفالټ خطرونه، او د پیژندنې پر بنسټ د لاسرسي کنټرول پلي کولو څرنګوالی.

CWE-284CWE-863

د Firebase امنیت مقررات د فایرسټور، ریښتیني وخت ډیټابیس، او کلاوډ ذخیره [S1] کې د ډیټا خوندي کولو لپاره دانه ، سرور لخوا پلي شوي میکانیزم چمتو کوي. ځکه چې د Firebase غوښتنلیکونه ډیری وختونه د دې کلاوډ خدماتو سره مستقیم د پیرودونکي اړخ څخه متقابل عمل کوي ، دا مقررات یوازینی خنډ څرګندوي چې د بیک انډ ډیټا [S1] ته د غیر مجاز لاسرسي مخه نیسي.

د اجازې قواعدو اغیزه

غلط ترتیب شوي مقررات کولی شي د پام وړ ډیټا افشا کیدو لامل شي [S2]. که چیرې مقررات د ډیر اجازه ورکولو لپاره ټاکل شوي وي - د مثال په توګه، د ډیفالټ 'ټیسټ حالت' ترتیبات کارول چې نړیوال لاسرسي ته اجازه ورکوي - هر هغه کارن چې د پروژې ID پوهه لري کولی شي د [S2] ټول ډیټابیس مینځپانګه ولولي ، بدل کړي یا حذف کړي. دا د پیرودونکي اړخ ټول امنیتي تدابیر له پامه غورځوي او د کارونکي حساس معلوماتو له لاسه ورکولو یا د خدماتو بشپړ ګډوډ [S2] پایله کیدی شي.

اصلي لامل: ناکافي واک منطق

د دې زیانونو اصلي لامل په ځانګړي ډول د ځانګړو شرایطو پلي کولو کې پاتې راتلل دي چې د کارونکي پیژندنې یا سرچینې ځانګړتیاو [S3] پر بنسټ لاسرسی محدودوي. پراختیا کونکي په مکرر ډول د تولید چاپیریال کې ډیفالټ تشکیلات پریږدي کوم چې د request.auth څیز [S3] اعتبار نه کوي. د request.auth ارزولو پرته، سیسټم نشي کولی د مشروع تصدیق شوي کاروونکي او نامعلوم غوښتونکي [S3] ترمنځ توپیر وکړي.

تخنیکي درملنه

د Firebase چاپیریال خوندي کول د خلاص لاسرسي څخه د لږترلږه امتیاز لرونکي ماډل ته حرکت ته اړتیا لري.

  • توثیق پلي کول: ډاډ ترلاسه کړئ چې ټولې حساسې لارې د دې په چک کولو سره د کارونکي باوري ناستې ته اړتیا لري چې ایا د request.auth څیز [S3] ناپاک ندی.
  • د هویت پر بنسټ لاسرسي پلي کړئ: هغه مقررات تنظیم کړئ چې د کارونکي UID (request.auth.uid) د سند دننه یوې ساحې سره یا پخپله د سند ID سره پرتله کوي ترڅو ډاډ ترلاسه کړي چې کارونکي کولی شي یوازې خپل ډیټا [S3] ته لاسرسی ومومي.
  • د دانه اجازې اندازه کول: د راټولولو لپاره د نړیوال وائلډ کارډونو څخه ډډه وکړئ. پرځای یې، د هرې ټولګې او فرعي راټولولو لپاره ځانګړي قواعد تعریف کړئ ترڅو د احتمالي برید سطح [S2] کم کړي.
  • د ایمولیټر سویټ له لارې تایید: د Firebase ایمولیټر سویټ څخه په ځایی توګه د امنیت مقرراتو ازموینې لپاره وکاروئ. دا د ژوند چاپیریال [S2] ته د ځای په ځای کولو دمخه د مختلف کاروونکو اشخاصو پروړاندې د لاسرسي کنټرول منطق تصدیق کولو ته اجازه ورکوي.

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe اوس دا د لوستلو یوازې BaaS سکین په توګه شامل دي. baas.firebase-rules د Firebase ترتیب د ورته اصلي جاواسکریپټ بنډلونو څخه استخراج کوي، په شمول د عصري initializeApp(...) بنډل شکلونه، بیا د ریښتیني وخت ډیټابیس، فایرسټور، او ZXVIZVCVK2 SXBEZVIXVKVENX سره ګوري. غیر مستند شوي یوازې د لوستلو غوښتنې. د Firestore لپاره، دا لومړی د ریښو راټولولو لیست هڅه کوي؛ کله چې لیست کول بند شوي وي، دا د عام حساس راټولولو نومونه هم څیړي لکه users، accounts، customers، orders، orders، users. messages، admin، او settings. دا یوازې د بریالي نامعلوم لوستلو یا لیست کولو راپور ورکوي او د پیرودونکي سند مینځپانګې نه لیکي ، حذف کوي یا ذخیره کوي.