FixVibe
Covered by FixVibehigh

Supabase Howpsuzlyk barlag sanawy: RLS, API açarlary we ammar

Bu gözleg makalasy, Supabase taslamalary üçin möhüm howpsuzlyk konfigurasiýalaryny görkezýär. Maglumat bazasynyň hatarlaryny goramak, anon we service_role API açarlaryny goramak üçin hatar derejesindäki Howpsuzlygy (RLS) dogry durmuşa geçirmäge we maglumatlaryň täsirine we rugsatsyz giriş töwekgelçiligini azaltmak üçin çeleklere giriş gözegçiligini güýçlendirýär.

CWE-284CWE-668

Çeňňek

Supabase taslamasyny üpjün etmek, API açary dolandyrmak, maglumat bazasynyň howpsuzlygy we saklamak rugsatlaryna gönükdirilen köp gatlakly çemeleşmäni talap edýär. [S1] Nädogry düzülen Row Level Security (RLS) ýa-da açyk duýgur düwmeler maglumatlaryň täsiriniň möhüm hadysalaryna sebäp bolup biler. [S2] [S3]

Näme üýtgedi

Bu gözleg, resmi arhitektura görkezmelerine esaslanýan Supabase gurşawy üçin esasy howpsuzlyk dolandyryşlaryny birleşdirýär. [S1] Esasy ösüş konfigurasiýalaryndan önümçiligi gatylaşdyran duruşlara, esasanam giriş dolandyryş mehanizmlerine degişlidir. [S2] [S3]

Kime täsir etdi

Supabase-ni “Backend-as-a-service” (BaaS) hökmünde ulanýan programmalar, esasanam ulanyjylara mahsus maglumatlary ýa-da hususy emläkleri ulanýanlara täsir edýär. [S2] service_role açaryny müşderi bukjalaryna goşýan ýa-da RLS açyp bilmeýän döredijiler ýokary töwekgelçilikde. [S1]

Mesele nähili işleýär

Supabase maglumatlaryň elýeterliligini çäklendirmek üçin PostgreSQL-iň hatar derejesi howpsuzlygyny ulanýar. [S2] Düzgüne görä, stolda RLS açyk bolmasa, anon açary bolan islendik ulanyjy ähli ýazgylara girip biler. [S1] Edil şonuň ýaly, Supabase Saklamak, haýsy ulanyjylaryň ýa-da rollaryň faýl çeleklerinde amal edip biljekdigini kesgitlemek üçin aç-açan syýasatlary talap edýär. [S3]

Hüjümçi näme alýar

Jemgyýetçilik API açaryna eýe bolan hüjümçi, beýleki ulanyjylara degişli maglumatlary okamak, üýtgetmek ýa-da ýok etmek üçin RLS ýiten tablisalary ulanyp biler. [S1] [S2] Saklaýyş çeleklerine rugsatsyz girmek, şahsy ulanyjy faýllarynyň açylmagyna ýa-da möhüm amaly aktiwleriň ýok edilmegine sebäp bolup biler. [S3]

FixVibe munuň üçin nädip synag edýär

FixVibe indi muny Supabase barlaglarynyň bir bölegi hökmünde öz içine alýar. baas.supabase-security-checklist-backfill köpçülige açyk Supabase Saklaýyş çelek metadatalaryny, näbelli obýektleriň sanawyny görkezmek, çelekleriň adyny bellemek we köpçülige açyk serhetden anon bilen baglanyşykly Saklaýyş signallaryny gözden geçirýär. Baglanyşykly göni barlaglar hyzmat rolunyň açary täsirini, Supabase REST / RLS duruşyny we RLS ýitirim bolany üçin ammar SQL göçümlerini barlaýar.

Näme düzetmeli?

Maglumat bazasynyň tablisalarynda elmydama Row Level Security-i işlediň we tassyklanan ulanyjylar üçin granular syýasatlaryny durmuşa geçiriň. [S2] Müşderi tarap kodunda diňe 'anon' düwmesiniň ulanylýandygyna göz ýetiriň, serwerde 'service_role' düwmesi galýar. [S1] Faýl çelekleriniň deslapky görnüşde şahsydygyna we elýeterliligiň diňe kesgitlenen howpsuzlyk syýasatlary arkaly berilýändigine göz ýetirmek üçin Saklanyş Dolandyryşyny sazlaň. [S3]