FixVibe
Covered by FixVibehigh

nisqa Firebase Amachay kamachiykuna: Mana kamachisqa willayta rikuchiyta harkay

nisqa ZXCVFIXVIBESEG2 nisqa Firebase Amachay Kamachiykuna ñawpaq hark'ay kanku mana servidorniyuq ruwanakuna Firestore chaymanta Cloud Storage kaqwan. Mayk'aq kay kamachiykuna ancha saqisqa kanku, kayhina tukuypaq ñawiriy utaq qillqay yaykuyta ruruchiypi saqispa, atacadores munasqa ruwana lógica kaqmanta pasayta atinku suwanankupaq utaq sensibles willayta qullunankupaq. Kay maskayqa común pantasqa ruwanakunata maskan, ‘prueba modo’ ñawpaqmanta ruwasqakuna riesgokuna, chaymanta imayna identidad-based yaykuy kamachiyta ruwayta.

CWE-284CWE-863

nisqa ZXCVFIXVIBESEG3 nisqa Firebase Waqaychasqa Kamachiykuna huk granular, sirwiqpa kamachisqan mecanismota qun Firestore, Chiqa pacha Willaypa Wasin chaymanta Puyu Waqaychasqa [S1] kaqpi willayta waqaychaypaq. Imaraykuchus Firebase ruwanakuna sapa kuti kay puyu yanapakuykunawan chiqamanta cliente ladomanta tinkinku, kay kamachiykuna sapalla harkayta rikuchinku mana kamachisqa yaykuyta harkaq qhipa willaykunaman [S1].

nisqa ZXCVFIXVIBESEG4 nisqa

Permisiva Reglas nisqapa Impacto nisqa

nisqa ZXCVFIXVIBESEG5 nisqa Mana allin ruwasqa kamachiykuna hatun willay rikuchiyman apayta atin [S2]. Sichus kamachiykuna llumpay saqisqa kananpaq churasqa kanku —kayhina, ñawpaqmanta 'prueba modo' churanakuna llamk'achispa mayqinkunachus tukuypaq yaykuyta saqin— mayqin ruwaqpas proyecto ID kaqmanta yachaq llapa willaypa tiyapuynin [S2] kaqmanta ñawiriyta, tikrayta utaq qulluyta atin. Kayqa llapa cliente-ladopi harkakuy ruwanakunata muyuchin chaymanta sensibles user willayta chinkachiypi utaq tukuy servicio sasachakuy [S2] kaqpi tukunman.

nisqa ZXCVFIXVIBESEG6 nisqa

Saphi Kausa: Mana suficiente Autorización Lógica

nisqa ZXCVFIXVIBESEG7 nisqa Kay mana allin ruwaypa saphi kaqninqa típicamente mana ruway atiymi sapanchasqa condicionkuna ruwayta mayqinkunachus yaykuyta harkanku ruwaqpa identidadnin utaq recurso atributokuna [S3] kaqpi. Ruwaqkuna sapa kuti ñawpaqmanta ruwasqa ruwanakuna ruwayta saqinku ruruchina pachakunapi mayqinkunachus mana request.auth objeto [S3] kaqmanta chiqaqchankuchu. Mana request.auth chaninchaspa, llamkana mana huk legítimo chiqaqchasqa ruwaqmanta chaymanta huk mana sutiyuq mañakuq [S3] kaqmanta t'aqayta atinchu.

nisqa ZXCVFIXVIBESEG8 nisqa

Remediación Técnica nisqa

nisqa ZXCVFIXVIBESEG9 nisqa9 Firebase pachata waqaychayqa kichasqa yaykuymanta huk principal-of-least-privilege modeloman kuyuyta munan.

nisqa ZXCVFIXVIBESEG10 nisqa

  • Chiqaqchayta kallpachay: Llapa sensibles ñankuna allin ruwaqpa tiyayninta munanku chayta qhaway sichus request.auth objeto mana ch'usaqchu [S3].

nisqa ZXCVFIXVIBESEG11 nisqa

  • Identidad-Based Access: Kamachiykuna ruway mayqinkunachus ruwaqpa UID (request.auth.uid) huk pampawan tupachinku qillqa ukhupi utaq kikin qillqa ID kaqwan ruwaqkuna kikin willayninkuman yaykuyta atisqankuta qhawanapaq [S3].

nisqa ZXCVFIXVIBESEG12 nisqa

  • Granular Permiso Alcance: Huñusqakunapaq pachantinpi comodín nisqakunata karunchakuy. Aswanpas, sapa huñunapaq chaymanta huch'uy huñunapaq kamachiykunata sut'inchay, [S2] atiy ataque hawata pisiyachinapaq.

nisqa ZXCVFIXVIBESEG13 nisqa

  • Emulador Suite kaqnintakama chiqaqchay: Firebase Emulator Suite kaqwan llamk'achiy harkasqa kamachiykunata kitipi pruebapaq. Kayqa yaykuy kamachiy lógica chiqaqchayta saqin imaymana user personas kaqwan manaraq kawsaq pachaman [S2] mast'arichkaspa.

nisqa ZXCVFIXVIBESEG14 nisqa

Imaynatataq FixVibe chaypaq pruebakun

nisqa FixVibe kunan kayta huk ñawirinapaqlla BaaS escaneo hina churan. baas.firebase-rules Firebase ruwayta kikin-origin JavaScript huñukunamanta hurqun, kunan pacha initializeApp(...) huñu rikch'aykunata, chaymanta Chiqa pacha Willaypa Wasin, Firestore chaymanta Firebase Waqaychayta mana atisqa ñawirisqawan qhawan mañakuykunata. Firestore kaqpaq, ñawpaqta saphi huñusqa listayta pruebakun; lista hark'asqa kaqtin, chaymanta común sensibles huñusqa sutikunata sondan kayhina users, accounts, customers, orders, payments, . messages, admin, y settings. Willan allin mana sutiyuq ñawiriy utaq listakunalla chaymanta mana qillqanchu, qullunchu utaq waqaychan rantiqpa qillqanpa kaqninkunata.