FixVibe
Covered by FixVibehigh

nisqa Mana kamachisqa Willayta Yaykuna Chiqasqa Supabase Fila Pata Waqaychasqa (RLS) kaqnintakama

nisqa ZXCVFIXVIBESEG2 nisqa Supabase-wan yanapasqa ruwanakunapi, willay waqaychasqa Fila Pata Waqaychasqa (RLS) kaqpi hapirin. Sichus RLS mana sut'imanta atichisqachu chaymanta kamachiykunawan wakichisqa, mayqin llamk'achiqpas llapapaq mana riqsisqa llaveyuqqa willayta ñawiriyta, musuqyachiyta utaq qulluyta atin tukuy willaypa tiyapuyninpi. Kayqa aswanta Next.js muyuriqkunapi ancha chaniyuq maypi Supabase cliente sapa kuti huk llapapaq API llavewan qallarisqa.

CWE-284

nisqa ZXCVFIXVIBESEG3 nisqa

Impacto

nisqa ZXCVFIXVIBESEG4 nisqa Mana Fila Pata Waqaychasqa (RLS) ruwayqa mana chiqaqchasqa atacadores kaqmanta willayta tapuyta saqin huk Supabase willaypa tiyapuyninmanta mayk'aq llapa runapaq tablakuna anon lindero [S1] kaqnintakama rikuchisqa kanku. Imaraykuchus Next.js ruwanakuna típicamente Supabase anon llaveta cliente-ladopi código kaqpi rikuchinku, huk atacador kay llaveta llamk'achiyta atinman chiqa REST API waqyakuykunata willaypa tiyapuyninman ruwananpaq, chaymanta yuyasqa ruwana lógica kaqman yaykuyta atikun willakuy [S2].

nisqa ZXCVFIXVIBESEG5 nisqa

Saphi Kausa

nisqa ZXCVFIXVIBESEG6 nisqa Ñawpaqmanta, Postgres tablakuna Supabase kaqpi sut'i llamk'achiyta munanku Fila Nivel Seguridad kaqmanta mana llapa runa yaykuy [S1] kaqmanta. Mayk'aq huk paqarichiqqa huk tablata ruwan ichaqa qunqan RLS atichiyta utaq mana harkaq kamachiykunata riqsichiyta atinchu, willaypa tiyapuynin willayta pimanpas rikuchiyta atin pimanpas proyectopa anon llave [S1] kaqwan. Next.js ruwanakunapi, servidor-ladopi ruway chaymanta cliente-ladopi apamuypas allinta Supabase cliente churayta munanku chayrayku chiqaqchasqa user contexto willaypa tiyapuynin qatana [S2] kaqman chayan.

nisqa ZXCVFIXVIBESEG7 nisqa

Hormigón nisqamanta allichakuykuna

nisqa ZXCVFIXVIBESEG8 nisqa

  • RLS atichiy: ALTER TABLE "your_table_name" ENABLE ROW LEVEL SECURITY; sapa llaqta tablapaq ruway mayqinchus app willayta waqaychan [S1].

nisqa ZXCVFIXVIBESEG9 nisqa9

  • Kamachiykuna riqsichiy: Sapanchasqa kamachiykunata ruway mayqinkunachus yaykuyta harkanku ruwaqpa chiqaqchay kayninmanhina, kayhina CREATE POLICY "Users can see their own data" ON your_table_name FOR SELECT USING (auth.uid() = user_id); [S1].

nisqa ZXCVFIXVIBESEG10 nisqa

  • Seguro Servidor-Lado Clientekuna: Next.js llamk'achkaspa, servicio-role clientekuna servidor-llamanta waqaychay chaymanta hinallataq dueño filtrokuna churay manaraq willayta [S2] kaqmanta ruwaqkunaman kutichispa.

nisqa ZXCVFIXVIBESEG11 nisqa

Imaynatataq FixVibe chaypaq pruebakun

nisqa ZXCVFIXVIBESEG12 nisqa FixVibe huk ñawirinapaqlla Supabase RLS qhawayta baas.supabase-rls kaqnintakama purichinña. Escáner Supabase proyecto URL kaqmanta chaymanta public anon llave kaqmanta kikin-origin JavaScript paquetes kaqmanta tarin, PostgREST kaqmanta tapun llapapaq tabla metadatos kaqmanta, chaymanta limitasqa ñawiriylla akllanakuna ruwayta munan chiqaqchaypaq sichus willayta mana huk user sesión kaqwan rikuchisqa. Mana servicio-rura credencialkunata churanchu, musuqyachinchu, qulluchinchu utaq llamk'achinchu. Repo escaneokuna kayta ñawpaqta hap'iyta atinkutaq repo.supabase.missing-rls kaqnintakama, mayqinchus SQL migracionkunata bandera ruwan mayqinkunachus llapapaq tablakuna ruwanku mana ENABLE ROW LEVEL SECURITY kaqwan.