FixVibe
Covered by FixVibehigh

Supabase ආරක්ෂක පිරික්සුම් ලැයිස්තුව: RLS, API යතුරු, සහ ගබඩා

මෙම පර්යේෂණ ලිපිය Supabase ව්‍යාපෘති සඳහා තීරණාත්මක ආරක්ෂක වින්‍යාසයන් ගෙනහැර දක්වයි. දත්ත සමුදා පේළි ආරක්ෂා කිරීම සඳහා පේළි මට්ටමේ ආරක්ෂාව (RLS) නිසි ලෙස ක්‍රියාත්මක කිරීම, anon සහ service_role API යතුරු ආරක්ෂිතව හැසිරවීම සහ දත්ත නිරාවරණය වීමේ අවදානම අවම කිරීම සඳහා ගබඩා බකට් සඳහා ප්‍රවේශ පාලනය බලාත්මක කිරීම කෙරෙහි එය අවධානය යොමු කරයි.

CWE-284CWE-668

කොක්ක

Supabase ව්‍යාපෘතියක් සුරක්ෂිත කිරීම සඳහා API යතුරු කළමනාකරණය, දත්ත සමුදා ආරක්ෂාව සහ ගබඩා අවසරයන් කෙරෙහි අවධානය යොමු කරන බහු-ස්ථර ප්‍රවේශයක් අවශ්‍ය වේ. [S1] වැරදි ලෙස වින්‍යාස කර ඇති පේළි මට්ටමේ ආරක්ෂාව (RLS) හෝ නිරාවරණය වූ සංවේදී යතුරු සැලකිය යුතු දත්ත නිරාවරණ සිදුවීම්වලට හේතු විය හැක. [S2] [S3]

වෙනස් වූ දේ

මෙම පර්යේෂණය නිල ගෘහනිර්මාණ මාර්ගෝපදේශ මත පදනම්ව Supabase පරිසරයන් සඳහා මූලික ආරක්ෂක පාලනයන් ඒකාබද්ධ කරයි. [S1] එය ප්‍රවේශ පාලන යාන්ත්‍රණයන් සම්බන්ධයෙන්, පෙරනිමි සංවර්ධන වින්‍යාසවල සිට නිෂ්පාදන-දැඩි කරන ලද ඉරියව් වෙත මාරුවීම කෙරෙහි අවධානය යොමු කරයි. [S2] [S3]

බලපාන්නේ කාටද

Supabase පසුපෙළ-සේවාවක් ලෙස (BaaS) භාවිතා කරන යෙදුම් වලට, විශේෂයෙන් පරිශීලක-විශේෂිත දත්ත හෝ පුද්ගලික වත්කම් හසුරුවන යෙදුම් වලට බලපායි. [S2] service_role යතුර ග්‍රාහක පාර්ශ්ව මිටිවල ඇතුළත් කරන හෝ RLS සබල කිරීමට අපොහොසත් වන සංවර්ධකයින් ඉහළ අවදානමක සිටී. [S1]

ගැටලුව ක්‍රියාත්මක වන ආකාරය

Supabase දත්ත ප්‍රවේශය සීමා කිරීමට PostgreSQL හි පේළි මට්ටමේ ආරක්ෂාව භාවිතා කරයි. [S2] පෙරනිමියෙන්, මේසයක් මත RLS සබල කර නොමැති නම්, anon යතුර සහිත ඕනෑම පරිශීලකයෙකුට—බොහෝ විට පොදු—සියලු වාර්තා වෙත ප්‍රවේශ විය හැක. [S1] ඒ හා සමානව, Supabase ආචයනයට ගොනු බාල්දිවල මෙහෙයුම් සිදු කළ හැක්කේ කුමන පරිශීලකයින්ට හෝ භූමිකාවන්ටද යන්න නිර්වචනය කිරීමට පැහැදිලි ප්‍රතිපත්ති අවශ්‍ය වේ. [S3]

ප්‍රහාරකයෙකුට ලැබෙන දේ

ප්‍රහාරකයෙකුට පොදු API යතුරක් ඇති RLS නොමැති වගු වෙනත් පරිශීලකයින්ට අයත් දත්ත කියවීමට, වෙනස් කිරීමට හෝ මැකීමට යොදා ගත හැක. [S1] [S2] ගබඩා බාල්දි සඳහා අනවසරයෙන් ප්‍රවේශ වීම පුද්ගලික පරිශීලක ගොනු නිරාවරණය වීමට හෝ විවේචනාත්මක යෙදුම් වත්කම් මකා දැමීමට හේතු විය හැක. [S3]

FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය

FixVibe දැන් මෙය එහි Supabase චෙක්පත්වල කොටසක් ලෙස ආවරණය කරයි. baas.supabase-security-checklist-backfill පොදු Supabase ගබඩා බාල්දි පාර-දත්ත, නිර්නාමික වස්තු-ලැයිස්තුගත නිරාවරණය, සංවේදී බාල්දි නම් කිරීම, සහ පොදු ඇනොන් මායිමෙන් නිර්නාමික ගබඩා සංඥා සමාලෝචනය කරයි. අදාළ සජීවී චෙක්පත් සේවා භූමිකාවේ යතුරු නිරාවරණය, Supabase REST/RLS ඉරියව්ව, සහ නැතිවූ RLS සඳහා ගබඩා SQL සංක්‍රමණයන් පරීක්ෂා කරයි.

නිවැරදි කළ යුතු දේ

දත්ත සමුදා වගු මත සෑම විටම පේළි මට්ටමේ ආරක්ෂාව සබල කරන්න සහ සත්‍යාපනය කළ පරිශීලකයින් සඳහා කැටිති ප්‍රතිපත්ති ක්‍රියාත්මක කරන්න. [S2] 'service_role' යතුර සේවාදායකයේ පවතින අතර, සේවාලාභී පාර්ශවීය කේතයේ 'anon' යතුර පමණක් භාවිතා වන බව සහතික කර ගන්න. [S1] ගොනු බාල්දි පෙරනිමියෙන් පුද්ගලික බව සහතික කිරීම සඳහා ගබඩා ප්‍රවේශ පාලනය වින්‍යාස කරන්න සහ ප්‍රවේශය ලබා දෙන්නේ නිශ්චිත ආරක්ෂක ප්‍රතිපත්ති හරහා පමණි. [S3]