FixVibe
Covered by FixVibehigh

Supabase Orodha ya Usalama ya RLS, API Funguo, na Hifadhi

Makala haya ya utafiti yanaangazia usanidi muhimu wa usalama kwa miradi ya Supabase. Inaangazia utekelezaji ufaao wa Usalama wa Ngazi ya Mstari (RLS) ili kulinda safu za hifadhidata, ushughulikiaji salama wa vitufe vya anon na jukumu_huduma API, na kutekeleza udhibiti wa ufikiaji wa ndoo za kuhifadhi ili kupunguza hatari za kufichua data na ufikiaji usioidhinishwa.

CWE-284CWE-668

ndoano

Kupata mradi wa Supabase kunahitaji mbinu ya tabaka nyingi inayolenga udhibiti wa ufunguo wa API, usalama wa hifadhidata, na ruhusa za kuhifadhi. [S1] Usalama wa Kiwango cha Safu uliosanidiwa isivyo sahihi (RLS) au funguo nyeti zilizofichuliwa zinaweza kusababisha matukio makubwa ya kufichua data. [S2] [S3]

Nini kilibadilika

Utafiti huu unajumuisha vidhibiti msingi vya usalama kwa mazingira ya Supabase kulingana na miongozo rasmi ya usanifu. [S1] Inaangazia mageuzi kutoka kwa usanidi chaguo-msingi hadi misimamo migumu ya uzalishaji, haswa kuhusu mifumo ya udhibiti wa ufikiaji. [S2] [S3]

Nani ameathirika

Programu zinazotumia Supabase kama Backend-as-a-Service (BaaS) zinaathiriwa, hasa zile zinazoshughulikia data mahususi ya mtumiaji au mali ya kibinafsi. [S2] Wasanidi programu wanaojumuisha ufunguo wa service_role katika vifurushi vya upande wa mteja au kushindwa kuwasha RLS wako katika hatari kubwa. [S1]

Jinsi suala linavyofanya kazi

Supabase hutumia Usalama wa Kiwango cha Safu cha PostgreSQL ili kuzuia ufikiaji wa data. [S2] Kwa chaguo-msingi, ikiwa RLS haijawashwa kwenye jedwali, mtumiaji yeyote aliye na kitufe cha anon—ambacho mara nyingi huwa hadharani—anaweza kufikia rekodi zote. [S1] Vile vile, Supabase Hifadhi inahitaji sera zilizo wazi ili kufafanua ni watumiaji gani au majukumu gani yanaweza kutekeleza shughuli kwenye ndoo za faili. [S3]

Mshambulizi anapata nini

Mshambulizi aliye na ufunguo wa umma wa API anaweza kutumia jedwali ambazo hazina RLS kusoma, kurekebisha, au kufuta data ya watumiaji wengine. [S1] [S2] Ufikiaji usioidhinishwa wa ndoo za kuhifadhi unaweza kusababisha kufichuliwa kwa faili za kibinafsi za mtumiaji au kufutwa kwa vipengee muhimu vya programu. [S3]

Jinsi FixVibe inavyoifanyia majaribio

FixVibe sasa inashughulikia hii kama sehemu ya ukaguzi wake wa Supabase. baas.supabase-security-checklist-backfill hukagua hadharani Supabase Metadata ya ndoo ya hifadhi, kufichua kwa uorodheshaji wa kitu bila jina, kutaja majina ya ndoo na ishara zisizofungamana za Uhifadhi kutoka kwa mpaka wa watu wasiojulikana. Ukaguzi wa moja kwa moja unaohusiana hukagua udhihirisho wa ufunguo wa jukumu la huduma, Supabase REST/RLS mkao, na uhamishaji wa SQL wa hazina kwa kukosa RLS.

Nini cha kurekebisha

Washa Usalama wa Kiwango cha Safu kila wakati kwenye jedwali la hifadhidata na utekeleze sera za punjepunje kwa watumiaji walioidhinishwa. [S2] Hakikisha kuwa ufunguo wa 'anon' pekee ndio unatumika katika msimbo wa upande wa mteja, huku ufunguo wa 'service_role' ukisalia kwenye seva. [S1] Sanidi Udhibiti wa Ufikiaji wa Hifadhi ili kuhakikisha kuwa ndoo za faili ni za faragha kwa chaguomsingi na ufikiaji unatolewa kupitia sera maalum za usalama. [S3]