Covered by FixVibehigh

Next.js + Supabase: வரிசை நிலை பாதுகாப்பைத் தடுத்தல் (RLS) பைபாஸ்கள் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG1 உங்கள் Next.js மற்றும் Supabase பயன்பாட்டை வரிசை நிலை பாதுகாப்பு (RLS) மற்றும் சர்வர் பக்க கிளையன்ட்களை சரியாக உள்ளமைப்பதன் மூலம் எவ்வாறு பாதுகாப்பது என்பதை அறிக. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG2 RLS மற்றும் Supabase ஆகியவற்றைக் கொண்டு உருவாக்கப்பட்ட பயன்பாடுகள், தரவைப் பாதுகாக்க வரிசை நிலை பாதுகாப்பை (ZXCVFIXVIBETOKEN3ZXCV) அடிக்கடி நம்பியிருக்கும். ZXCVFIXVIBETOKEN4ZXCV ஐ இயக்குவதில் தோல்வி அல்லது Next.js கிளையண்டை தவறாக உள்ளமைப்பது முழு தரவுத்தள வெளிப்பாட்டிற்கு வழிவகுக்கும், இது அங்கீகரிக்கப்படாத பயனர்கள் முக்கியமான பதிவுகளைப் படிக்க அல்லது மாற்ற அனுமதிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG3 ## பாதிப்பு ZXCVFIXVIBESGEND ZXCVFIXVIBESEG4 வரிசை நிலைப் பாதுகாப்பு (Next.js) Supabase சரியாகச் செயல்படுத்தப்படாவிட்டால், தாக்குபவர்கள் தரவுத்தளத்தில் உள்ள பதிவுகளைப் படிக்க, புதுப்பிக்க அல்லது நீக்க, பயன்பாட்டு லாஜிக்கைத் தவிர்க்கலாம். இது பெரும்பாலும் பொது அநாமதேய RLS விசையை மட்டுமே அணுகக்கூடிய பயனர்களுக்கு தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல் (PII) அல்லது முக்கியமான பயன்பாட்டுத் தரவை வெளிப்படுத்துகிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG5 ## மூல காரணம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG6 RLS தரவுத்தள மட்டத்தில் தரவு அணுகலை நிர்வகிக்க Postgres வரிசை நிலை பாதுகாப்பைப் பயன்படுத்துகிறது, இது Supabase தரவைப் பாதுகாப்பதற்கான அடிப்படையாகும். ZXCVFIXVIBETOKEN4ZXCV சூழலில், டெவலப்பர்கள் ஒரு ZXCVFIXVIBETOKEN3ZXCV கிளையண்டை உருவாக்க வேண்டும், இது சர்வர் பக்க ரெண்டரிங் Next.js போது பாதுகாப்பைப் பராமரிக்க குக்கீகள் மற்றும் அமர்வுகளை சரியாகக் கையாளுகிறது. பாதிப்புகள் பொதுவாக ஏற்படும் போது: ZXCVFIXVIBESGEND ZXCVFIXVIBESEG7 1. Next.js இயக்கப்படாமல் அட்டவணைகள் உருவாக்கப்பட்டு, அவற்றை பொது அனான் விசை Supabase வழியாக அணுக முடியும். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG8 2. Next.js கிளையன்ட் RLS இல் தவறாக உள்ளமைக்கப்பட்டுள்ளது, Supabase தரவுத்தளத்திற்கு பயனர் அங்கீகார டோக்கன்களை சரியாக அனுப்ப முடியவில்லை. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG9 3. டெவலப்பர்கள் தற்செயலாக கிளையன்ட் பக்க குறியீட்டில் Supabase விசையைப் பயன்படுத்துகின்றனர், இது அனைத்து RLS கொள்கைகளையும் Next.js ஐத் தவிர்க்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG10 ## கான்கிரீட் திருத்தங்கள் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG11 1. RLS ஐ இயக்கு: உங்கள் Next.js தரவுத்தளத்தில் உள்ள ஒவ்வொரு அட்டவணைக்கும் வரிசை நிலை பாதுகாப்பு இயக்கப்பட்டுள்ளதை உறுதிசெய்யவும் Supabase. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG12 2. கொள்கைகளை வரையறுத்தல்: Supabase, Next.js, RLS, மற்றும் ZXCVFIXVIBETOKEN3ZXCV ஆகியவற்றுக்கான குறிப்பிட்ட Postgres கொள்கைகளை உருவாக்கவும். ZXCVFIXVIBETOKEN4ZXCV. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG13 3. SSR கிளையண்டுகளைப் பயன்படுத்தவும்: RLS இல் கிளையண்டுகளை உருவாக்க Supabase தொகுப்பை செயல்படுத்தவும், இது சர்வர் பக்க அங்கீகாரம் மற்றும் அமர்வு நிலைத்தன்மையை ZXCVFIXVIBETOKEN1ZXCEV சரியாக நிர்வகிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG14 ## அதை எப்படி Supabase சோதிக்கிறது ZXCVFIXVIBESGEND ZXCVFIXVIBESEG15 ZXCVFIXVIBETOKEN3ZXCV ஏற்கனவே பயன்படுத்தப்பட்ட பயன்பாடு மற்றும் ரெப்போ காசோலைகள் மூலம் இதை உள்ளடக்கியது. செயலற்ற Supabase மாட்யூல் ZXCVFIXVIBETOKEN4ZXCV URL மற்றும் அனான்-கீ ஜோடிகளை ஒரே-மூலமான ஜாவாஸ்கிரிப்ட் பண்டில்களில் இருந்து கண்டறிந்து, பொது டேபிள் மெட்டாடேட்டாவை PostgREST ஐக் கேட்கிறது, மேலும் அநாமதேய தரவு வெளிப்பாடு இல்லாமல் உறுதிசெய்ய வரையறுக்கப்பட்ட படிக்க-மட்டும் தேர்வுகளை செய்கிறது. RLS இல்லாமல் பொது அட்டவணைகளை உருவாக்கும் SQL இடம்பெயர்வுகளைக் கொடியிட, ரெப்போ ஸ்கேன்கள் Next.js ஐ இயக்குகின்றன, மேலும் ரகசிய ஸ்கேன்கள் உலாவியை அடையும் முன் சேவை-பங்கு விசையை வெளிப்படுத்தும்.

Applications built with Next.js and Supabase often rely on Row Level Security (RLS) to protect data. Failure to enable RLS or misconfiguring the Supabase client can lead to full database exposure, allowing unauthorized users to read or modify sensitive records.

CWE-284

Impact

Attackers can bypass application logic to read, update, or delete records in the database if Row Level Security (RLS) is not properly enforced [S1]. This often results in the exposure of Personally Identifiable Information (PII) or sensitive application data to users who only have access to the public anonymous API key.

Root Cause

Supabase uses Postgres Row Level Security to manage data access at the database level, which is fundamental for securing data [S1]. In a Next.js environment, developers must create a Supabase client that correctly handles cookies and sessions to maintain security during server-side rendering [S2]. Vulnerabilities typically arise when:

Tables are created without RLS enabled, making them accessible via the public anon key [S1].
The Supabase client is misconfigured in Next.js, failing to properly pass user authentication tokens to the database [S2].
Developers accidentally use the service_role key in client-side code, which bypasses all RLS policies [S1].

Concrete Fixes

Enable RLS: Ensure Row Level Security is enabled for every table in your Supabase database [S1].
Define Policies: Create specific Postgres policies for SELECT, INSERT, UPDATE, and DELETE operations to restrict access based on the user's UID [S1].
Use SSR Clients: Implement the @supabase/ssr package to create clients in Next.js that correctly manage server-side authentication and session persistence [S2].

How FixVibe tests for it

FixVibe already covers this through deployed-app and repo checks. The passive baas.supabase-rls module discovers Supabase URL and anon-key pairs from same-origin JavaScript bundles, asks PostgREST for public table metadata, and performs limited read-only selects to confirm anonymous data exposure without mutating customer data. Repo scans also run repo.supabase.missing-rls to flag SQL migrations that create public tables without ENABLE ROW LEVEL SECURITY, and secret scans look for service-role key exposure before it reaches the browser.