FixVibe
Covered by FixVibehigh

Supabase سیکیورٹی چیک لسٹ: RLS، API کیز، اور اسٹوریج

یہ تحقیقی مضمون Supabase پروجیکٹس کے لیے اہم حفاظتی ترتیب کا خاکہ پیش کرتا ہے۔ یہ ڈیٹا بیس کی قطاروں کی حفاظت کے لیے رو لیول سیکیورٹی (RLS) کے مناسب نفاذ پر توجہ مرکوز کرتا ہے، anon اور service_role API کیز کی محفوظ ہینڈلنگ، اور ڈیٹا کی نمائش کے خطرات کو کم کرنے کے لیے اسٹوریج بکٹس کے لیے ایکسیس کنٹرول کو نافذ کرنے اور اس سے باہر ہونے والے ایکسیس کو محفوظ کرنے پر توجہ مرکوز کرتا ہے۔

CWE-284CWE-668

کانٹا

Supabase پروجیکٹ کو محفوظ کرنے کے لیے API کلیدی انتظام، ڈیٹا بیس کی حفاظت، اور اسٹوریج کی اجازتوں پر توجہ مرکوز کرنے کے لیے کثیر پرتوں والے نقطہ نظر کی ضرورت ہوتی ہے۔ [S1] غلط طریقے سے ترتیب شدہ قطار کی سطح کی سیکیورٹی (RLS) یا بے نقاب حساس کلیدیں ڈیٹا کی نمائش کے اہم واقعات کا باعث بن سکتی ہیں۔ [S2] [S3]

کیا بدلا؟

یہ تحقیق Supabase ماحولیات کے لیے بنیادی حفاظتی کنٹرولز کو باضابطہ آرکیٹیکچر رہنما خطوط کی بنیاد پر مضبوط کرتی ہے۔ [S1] یہ ڈیفالٹ ڈیولپمنٹ کنفیگریشنز سے پروڈکشن سخت کرنسیوں میں منتقلی پر توجہ مرکوز کرتا ہے، خاص طور پر رسائی کنٹرول میکانزم کے حوالے سے۔ [S2] [S3]

کون متاثر ہوتا ہے۔

Supabase کو بطور بیک اینڈ-ای-سروس (BaaS) استعمال کرنے والی ایپلیکیشنز متاثر ہوتی ہیں، خاص طور پر وہ جو صارف کے مخصوص ڈیٹا یا نجی اثاثوں کو ہینڈل کرتی ہیں۔ [S2] ڈویلپرز جو service_role کلید کو کلائنٹ سائیڈ بنڈلز میں شامل کرتے ہیں یا RLS کو فعال کرنے میں ناکام رہتے ہیں وہ زیادہ خطرے میں ہیں۔ [S1]

مسئلہ کیسے کام کرتا ہے۔

Supabase ڈیٹا تک رسائی کو محدود کرنے کے لیے PostgreSQL کی رو لیول سیکیورٹی کا فائدہ اٹھاتا ہے۔ [S2] بذریعہ ڈیفالٹ، اگر RLS ٹیبل پر فعال نہیں ہے، anon کلید کے ساتھ کوئی بھی صارف — جو اکثر عوامی ہوتا ہے — تمام ریکارڈ تک رسائی حاصل کر سکتا ہے۔ [S1] اسی طرح، Supabase سٹوریج کو واضح پالیسیوں کی ضرورت ہوتی ہے تاکہ یہ وضاحت کی جا سکے کہ کون سے صارف یا کردار فائل بکٹس پر آپریشن کر سکتے ہیں۔ [S3]

حملہ آور کو کیا ملتا ہے۔

ایک عوامی API کلید رکھنے والا حملہ آور دوسرے صارفین کے ڈیٹا کو پڑھنے، اس میں ترمیم کرنے یا حذف کرنے کے لیے RLS غائب میزوں کا فائدہ اٹھا سکتا ہے۔ [S1] [S2] اسٹوریج بالٹیوں تک غیر مجاز رسائی صارف کی نجی فائلوں کی نمائش یا درخواست کے اہم اثاثوں کو حذف کرنے کا باعث بن سکتی ہے۔ [S3]

FixVibe اس کے لیے کیسے ٹیسٹ کرتا ہے۔

FixVibe اب اسے اپنے Supabase چیک کے حصے کے طور پر کور کرتا ہے۔ baas.supabase-security-checklist-backfill عوامی Supabase اسٹوریج بالٹی میٹا ڈیٹا، گمنام آبجیکٹ کی فہرست کی نمائش، حساس بالٹی کا نام، اور عوامی اینون باؤنڈری سے غیر پابند اسٹوریج سگنلز کا جائزہ لیتا ہے۔ متعلقہ لائیو چیکز سروس رول کلیدی نمائش، Supabase REST/RLS کرنسی، اور RLS غائب ہونے کے لیے ریپوزٹری SQL منتقلی کا معائنہ کرتے ہیں۔

کیا ٹھیک کرنا ہے۔

ڈیٹابیس ٹیبلز پر قطار کی سطح کی سیکیورٹی کو ہمیشہ فعال کریں اور تصدیق شدہ صارفین کے لیے دانے دار پالیسیاں نافذ کریں۔ [S2] یقینی بنائیں کہ کلائنٹ سائڈ کوڈ میں صرف 'anon' کلید استعمال کی گئی ہے، جبکہ 'service_role' کلید سرور پر موجود ہے۔ [S1] سٹوریج ایکسیس کنٹرول کو ترتیب دیں تاکہ یہ یقینی بنایا جا سکے کہ فائل کی بالٹیاں بطور ڈیفالٹ پرائیویٹ ہیں اور رسائی صرف متعین سیکیورٹی پالیسیوں کے ذریعے دی جاتی ہے۔ [S3]