FixVibe
Covered by FixVibehigh

Supabase سيڪيورٽي چيڪ لسٽ: RLS، API چاٻيون، ۽ اسٽوريج

هي تحقيقي آرٽيڪل Supabase منصوبن لاءِ نازڪ حفاظتي ترتيبن کي بيان ڪري ٿو. اهو ڊيٽابيس جي قطارن جي حفاظت لاءِ قطار ليول سيڪيورٽي (RLS) جي مناسب عمل درآمد تي ڌيان ڏئي ٿو، آنون ۽ service_role API ڪنجين کي محفوظ سنڀالڻ، ۽ ڊيٽا جي نمائش جي خطرن کي گھٽائڻ لاءِ اسٽوريج بڪيٽس لاءِ رسائي ڪنٽرول کي لاڳو ڪرڻ ۽ رسيپشن کي ختم ڪرڻ.

CWE-284CWE-668

ٿلهو

هڪ Supabase پروجيڪٽ کي محفوظ ڪرڻ لاءِ هڪ گھڻن سطحي انداز جي ضرورت آهي جيڪا API اهم انتظام، ڊيٽابيس سيڪيورٽي، ۽ اسٽوريج جي اجازتن تي ڌيان ڏئي ٿي. [S1] غلط ترتيب ڏنل قطار ليول سيڪيورٽي (RLS) يا بي نقاب حساس چاٻيون اهم ڊيٽا جي نمائش جي واقعن کي جنم ڏئي سگھن ٿيون. [S2] [S3]

ڇا بدلجي ويو

هي تحقيق Supabase ماحوليات لاءِ بنيادي حفاظتي ضابطن کي مضبوط ڪري ٿي سرڪاري فن تعمير جي رهنمائي جي بنياد تي. [S1] اهو ڊفالٽ ڊولپمينٽ ترتيبن کان پيداوار جي سخت پوزيشن ڏانهن منتقلي تي ڌيان ڏئي ٿو، خاص طور تي رسائي ڪنٽرول ميڪانيزم جي حوالي سان. [S2] [S3]

ڪير متاثر ٿيو

ايپليڪيشنون جيڪي Supabase کي استعمال ڪندي هڪ پس منظر-اي-سروس جي طور تي (BaaS) متاثر ٿينديون آهن، خاص طور تي اهي جيڪي صارف جي مخصوص ڊيٽا يا نجي اثاثن کي سنڀاليندا آهن. [S2] ڊولپر جيڪي service_role ڪني کي ڪلائنٽ-سائيڊ بنڊلز ۾ شامل ڪن ٿا يا RLS کي چالو ڪرڻ ۾ ناڪام ٿين ٿا انهن کي وڌيڪ خطرو آهي. [S1]

مسئلو ڪيئن ڪم ڪري ٿو

Supabase ڊيٽا جي رسائي کي محدود ڪرڻ لاءِ PostgreSQL جي قطار جي سطح جي سيڪيورٽي کي استعمال ڪري ٿو. [S2] ڊفالٽ طور، جيڪڏهن RLS ٽيبل تي فعال نه آهي، anon ڪيئي سان ڪو به صارف- جيڪو اڪثر عوامي هوندو آهي- سڀني رڪارڊ تائين رسائي ڪري سگهي ٿو. [S1] ساڳئي طرح، Supabase اسٽوريج واضح پاليسين جي ضرورت آهي وضاحت ڪرڻ لاءِ ته ڪهڙن صارفن يا ڪردارن کي فائل بڪٽس تي آپريشن ڪري سگھن ٿا. [S3]

ڇا هڪ حملو ڪندڙ حاصل ڪري ٿو

هڪ حملو ڪندڙ جيڪو عوامي API چاٻي رکي ٿو اهو استعمال ڪري سگھي ٿو ٽيبلن کي غائب RLS ٻين استعمال ڪندڙن جي ڊيٽا کي پڙهڻ، تبديل ڪرڻ يا حذف ڪرڻ لاءِ. [S1] [S2] اسٽوريج بڪٽس تائين غير مجاز رسائي نجي صارف فائلن جي نمائش يا نازڪ ايپليڪيشن اثاثن کي ختم ڪرڻ جي ڪري سگھي ٿي. [S3]

ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو

FixVibe هاڻي هن کي پنهنجي Supabase چيڪن جي حصي طور ڍڪي ٿو. baas.supabase-security-checklist-backfill عوامي جائزو وٺي ٿو Supabase اسٽوريج بالٽ ميٽا ڊيٽا، گمنام اعتراض جي لسٽنگ جي نمائش، حساس بالٽ جو نالو، ۽ عوامي آنن جي حد کان آنون پابند اسٽوريج سگنل. لاڳاپيل لائيو چيڪون معائنو ڪن ٿيون سروس-رول ڪيئي ايڪسپوزر، Supabase REST/RLS پوسٽر، ۽ ريپوزٽري SQL لڏپلاڻ لاءِ RLS غائب.

ڇا حل ڪجي

ڊيٽابيس جدولن تي هميشه قطار ليول سيڪيورٽي کي فعال ڪريو ۽ تصديق ٿيل استعمال ڪندڙن لاءِ گرينولر پاليسيون لاڳو ڪريو. [S2] پڪ ڪريو ته ڪلائنٽ سائڊ ڪوڊ ۾ صرف 'anon' ڪيئي استعمال ٿئي ٿي، جڏهن ته 'service_role' ڪيئي سرور تي رهي ٿي. [S1] اسٽوريج رسائي ڪنٽرول کي ترتيب ڏيو انهي کي يقيني بڻائڻ لاءِ ته فائل بڪيٽ ڊفالٽ طور پرائيويٽ آهن ۽ رسائي صرف مقرر ڪيل سيڪيورٽي پاليسين ذريعي ڏني وئي آهي. [S3]