// docs / baas security
Varnost BaaS
Platforme Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — pokrivajo prav tiste dele aplikacije, s katerimi orodja za kodiranje z UI ravnajo najmanj skrbno: varnost na ravni vrstic, pravila shrambe, konfiguracijo ponudnikov identitete in to, kateri ključi pridejo v brskalnik. Ta razdelek je osredotočena knjižnica člankov o tem, kako te napačne konfiguracije v produkciji dejansko izgledajo ter kako jih najti in odpraviti. Vsak članek se zaključi z enoklikenim skeniranjem vaše lastne uvedbe.
// supabase rls skener
Skener Supabase RLS: poiščite tabele z manjkajočo ali okvarjeno varnostjo na ravni vrstic
Kaj lahko pasivni RLS-skener dokaže od zunaj baze podatkov, štiri oblike pokvarjene RLS, ki jih privzeto generirajo orodja UI za kodiranje, kako deluje FixVibov preveritveni mehanizem
baas.supabase-rlsin natančen SQL, ki ga je treba uporabiti, ko najdete manjkajočo politiko.Preverite svojo aplikacijo glede manjkajoče RLS →
// razkritje service-role ključa
Supabase service-role ključ izpostavljen v JavaScriptu
Kaj je service-role ključ, zakaj nikoli ne sme živeti v brskalniku in trije načini, kako ga UI-orodja po nesreči izdajajo v produkcijo. Vključuje obliko JWT, ki identificira odtekel ključ, takojšen priročnik odziva in to, kako ga FixVibov pregled snopa zazna.
Preverite, ali so se v vaš snop izdale skrivnosti →
// utrjevanje shrambe
Kontrolni seznam za varnost vedra Supabase Storage
Osredotočen 22-točkovni kontrolni seznam za utrjevanje Supabase Storage — vidnost vedra, RLS-politike na tabeli
objects, preverjanje MIME-tipov, ravnanje s podpisanimi URL-ji, ukrepi proti naštevanju in operativna higiena. Vsak element je en korak, ki ga lahko opravite v 5–15 minutah.Skenirajte javna vedra in anon-naštevno shrambo →
// skener firebase rules
Skener pravil Firebase: poiščite odprta pravila Firestore, Realtime Database in Storage
Kako skener pravil Firebase deluje od zunaj, vzorci test-načina, ki jih generirajo UI-orodja, tri Firebase-storitve, ki vsaka potrebuje lasten pregled pravil (Firestore, Realtime Database, Storage), in kaj lahko pregled dokaže brez poverilnic.
Preverite odprta pravila za branje/pisanje →
// razlaga sintakse pravil
Firebase allow read, write: if true razloženo
Kaj pravilo
allow read, write: if true;dejansko počne, zakaj ga Firebase izdaja kot privzeto v test-načinu, kakšno natančno vedenje vidi napadalec in štiri načini, kako ga zamenjati s produkcijsko varnim pravilom. Vključuje poizvedbo za pregled za prilepljanje in petstopenjski načrt odprave.Skenirajte svoj produkcijski URL →
// utrjevanje clerk
Kontrolni seznam varnosti Clerk
20-točkovni kontrolni seznam za utrjevanje integracije Clerk — higiena okoljskih ključev, nastavitve sej, preverjanje webhookov, dovoljenja organizacij, omejevanje JWT-predlog in operativno spremljanje. Predlansirne in tekoče točke, združene po področjih.
Preverite napačne konfiguracije avtentikacije/seje →
// utrjevanje auth0
Kontrolni seznam varnosti Auth0
22-točkovni Auth0-pregled, ki pokriva tip aplikacije in vrste odobritev, sezname dovoljenih povratnih klicev / odjav, rotacijo osvežitvenih žetonov, varnost lastnih akcij, RBAC in vire-strežnike, zaznavanje anomalij in spremljanje dnevnikov najemnika. Ujame točke, ki jih UI-generirane SaaS-aplikacije dosledno spregledajo.
Preverite izpostavljenost ponudnika identitete →
// krovni skener
Skener napačnih konfiguracij BaaS: poiščite javne podatkovne poti v Supabase, Firebase, Clerk in Auth0
Zakaj BaaS-ponudniki varnostno odpovedo v isti obliki, pet razredov napačnih konfiguracij, ki jih mora vsaka aplikacija s podporo BaaS preveriti, kako krovni FixVibov BaaS-pregled deluje pri vseh štirih ponudnikih, vzporedna primerjava, kaj lahko vsak skener dokaže, in iskrena primerjava z Burpom, ZAP in SAST-orodji.
Najdite javne podatkovne poti, preden to storijo uporabniki →
Kaj sledi
Tu pristanejo dodatni članki o BaaS, ko se pokritost FixVibovega skenerja širi. Dnevnik sprememb skenerja beleži vsako novo zaznavo — naročite se nanj za tekoč pregled, kar zdaj FixVibe lahko dokaže od zunaj.