FixVibe
Covered by FixVibehigh

Firebase Howpsuzlyk düzgünleri: Rugsat berilmedik maglumatlaryň ýaýramagynyň öňüni almak

Firebase Howpsuzlyk düzgünleri, Firestore we Cloud Storage ulanyp, serwersiz programmalar üçin esasy gorag. Haçan-da bu düzgünler önümçilige global okamaga ýa-da ýazmaga rugsat bermek ýaly aşa rugsat berse, hüjümçiler duýgur maglumatlary ogurlamak ýa-da ýok etmek üçin niýetlenen programma logikasyndan aýlanyp bilerler. Bu gözleg, umumy ýalňyş konfigurasiýalary, 'synag re modeiminiň' defolt töwekgelçiligini we şahsyýete esaslanýan giriş gözegçiligini nädip durmuşa geçirmelidigini öwrenýär.

CWE-284CWE-863

Firebase Howpsuzlyk Düzgünleri, Firestore, Realtime Maglumatlar bazasy we Bulut ammary [S1]-de maglumatlary goramak üçin granular, serwer bilen üpjün edilen mehanizm bilen üpjün edýär. Firebase programmalary köplenç bu bulut hyzmatlary bilen gönüden-göni müşderi tarapyndan täsirleşýändigi sebäpli, bu düzgünler [S1] arka maglumatlaryna rugsatsyz girmegiň öňüni alýan ýeke-täk päsgelçiligi görkezýär.

Rugsatly düzgünleriň täsiri

Nädogry düzülen düzgünler [S2] maglumatlaryň möhüm täsirine sebäp bolup biler. Düzgünler aşa rugsat berilýän bolsa, mysal üçin, global elýeterliligi üpjün edýän deslapky 'synag rejimi' sazlamalaryny ulanmak bilen, taslama ID-ni bilýän islendik ulanyjy [S2] maglumat bazasynyň mazmunyny okap, üýtgedip ýa-da pozup biler. Bu, ähli müşderi taraplaýyn howpsuzlyk çärelerinden geçýär we ulanyjy maglumatlarynyň ýitmegine ýa-da [S2] hyzmatynyň umumy kesilmegine sebäp bolup biler.

Kök sebäbi: Awtorizasiýa logikasy ýeterlik däl

Bu gowşak goralanlyklaryň düýp sebäbi, ulanyjy şahsyýetine ýa-da [S3] ulanyjy şahsyýetine ýa-da çeşme atributlaryna esaslanýan girişi çäklendirýän aýratyn şertleri ýerine ýetirmezlikdir. Işläp düzüjiler request.auth obýekti [S3] tassyklamaýan önümçilik gurşawynda ýygy-ýygydan deslapky konfigurasiýalary işjeň goýýarlar. request.auth baha bermezden, ulgam kanuny tassyklanan ulanyjy bilen näbelli haýyşnamaçy [S3] arasynda tapawutlandyryp bilmez.

Tehniki düzediş

Firebase gurşawyny üpjün etmek, aç-açan girişden iň pes derejeli modele geçmegi talap edýär.

  • Hakyky tassyklamany güýçlendiriň : request.auth obýektiň [S3] ýokdugyny barlamak arkaly ähli duýgur ýollaryň dogry ulanyjy sessiýasyny talap edýändigine göz ýetiriň.

**

  • Granular rugsady gözlemek : collectionygyndylar üçin global kartoçkalardan gaça duruň. Munuň ýerine, [S2] hüjüm hüjümini azaltmak üçin her kolleksiýa we kiçi kolleksiýa üçin aýratyn düzgünleri kesgitläň.
  • Emulator Suite arkaly barlamak : Firebase Emulator Suite ulanyň, ýerli howpsuzlyk düzgünlerini barlamak üçin. Bu, [S2] janly gurşawa ýerleşdirmezden ozal dürli ulanyjy şahsyýetlerine garşy giriş dolandyryş logikasyny barlamaga mümkinçilik berýär.

FixVibe munuň üçin nädip synag edýär

FixVibe indi muny diňe okalýan BaaS skaner hökmünde öz içine alýar. baas.firebase-rules häzirki zaman initializeApp(...) bukjanyň şekillerini goşmak bilen birmeňzeş gelip çykyşy JavaScript bukjalaryndan Firebase konfigurasiýasyny çykarýar, soňra Realtime Maglumat bazasy, Firestore we ZXCVVIXVZB “Firestore” üçin ilki bilen kök ýygnamak sanawyny synap görýär; sanaw petiklenende, users, accounts, customers, orders, ZXCVFIXVI ýaly umumy duýgur ýygnamak atlaryny hem barlaýar. messages, admin we settings. Diňe üstünlikli anonim okalanlaryň ýa-da sanawlaryň bardygyny habar berýär we müşderiniň resminamalarynyň mazmunyny ýazmaýar, pozmaýar we saklamaýar.