FixVibe
Covered by FixVibehigh

Supabase Xavfsizlik tekshiruvi roʻyxati: RLS, API kalitlari va xotira

Ushbu tadqiqot maqolasida Supabase loyihalari uchun muhim xavfsizlik konfiguratsiyalari bayon etilgan. U maʼlumotlar bazasi qatorlarini himoya qilish uchun Row Level Security (RLS) toʻgʻri amalga oshirilishiga, anon va service_role API kalitlari bilan xavfsiz ishlov berishga hamda maʼlumotlarga taʼsir qilish va ruxsatsiz kirish xavfini kamaytirish uchun saqlash paqirlariga kirish nazoratini kuchaytirishga qaratilgan.

CWE-284CWE-668

Ilgak

Supabase loyihasini himoya qilish API kalitlarni boshqarish, maʼlumotlar bazasi xavfsizligi va saqlash ruxsatlariga eʼtibor qaratuvchi koʻp qatlamli yondashuvni talab qiladi. [S1] Noto'g'ri sozlangan Qator darajasidagi xavfsizlik (RLS) yoki ochiq kalitlar muhim ma'lumotlarga ta'sir qilish hodisalariga olib kelishi mumkin. [S2] [S3]

Nima o'zgardi

Ushbu tadqiqot Supabase muhitlari uchun rasmiy arxitektura ko'rsatmalariga asoslangan asosiy xavfsizlik boshqaruvlarini birlashtiradi. [S1] U standart ishlab chiqish konfiguratsiyasidan ishlab chiqarishda qattiqlashtirilgan postlarga o'tishga, xususan, kirishni boshqarish mexanizmlariga qaratilgan. [S2] [S3]

Kim ta'sir qiladi

Supabase-dan xizmat sifatida xizmat ko'rsatish (BaaS) sifatida foydalanadigan ilovalar, xususan, foydalanuvchiga tegishli ma'lumotlar yoki shaxsiy aktivlar bilan ishlaydigan ilovalar. [S2] service_role kalitini mijoz tomonidagi to‘plamlarga qo‘shgan yoki RLSni faollashtira olmagan dasturchilar yuqori xavf ostida. [S1]

Muammo qanday ishlaydi

Supabase ma'lumotlarga kirishni cheklash uchun PostgreSQL-ning Row Level Security-dan foydalanadi. [S2] Odatiy bo'lib, agar RLS stolda yoqilmagan bo'lsa, anon kalitiga ega bo'lgan har qanday foydalanuvchi (ko'pincha ochiq) barcha yozuvlarga kira oladi. [S1] Xuddi shunday, Supabase Saqlash qaysi foydalanuvchilar yoki rollar fayl paqirlarida amallarni bajarishi mumkinligini aniqlash uchun aniq siyosatlarni talab qiladi. [S3]

Hujumchi nima oladi

Ochiq API kalitiga ega bo'lgan tajovuzkor RLS mavjud bo'lmagan jadvallardan boshqa foydalanuvchilarga tegishli ma'lumotlarni o'qish, o'zgartirish yoki o'chirish uchun foydalanishi mumkin. [S1] [S2] Saqlash paqirlariga ruxsatsiz kirish shaxsiy foydalanuvchi fayllari oshkor etilishiga yoki muhim ilova aktivlarining oʻchirilishiga olib kelishi mumkin. [S3]

FixVibe buni qanday sinovdan o'tkazadi

FixVibe endi buni Supabase tekshiruvlarining bir qismi sifatida qamrab oladi. baas.supabase-security-checklist-backfill ommaviy Supabase Saqlash paqiri metamaʼlumotlari, obʼyektlar roʻyxatining anonim ekspozitsiyasi, chelakning sezgir nomlanishi va umumiy anon chegarasidan anon-bogʻlangan saqlash signallarini koʻrib chiqadi. Tegishli jonli tekshiruvlar xizmat roli kaliti taʼsirini, Supabase REST/RLS holatini va yoʻqolgan RLS uchun ombor SQL migratsiyasini tekshiradi.

Nimani tuzatish kerak

Har doim ma'lumotlar bazasi jadvallarida Row Level Security ni yoqing va autentifikatsiya qilingan foydalanuvchilar uchun batafsil siyosatlarni amalga oshiring. [S2] Mijoz kodida faqat “anon” kaliti ishlatilishiga, “service_role” kaliti esa serverda qolishiga ishonch hosil qiling. [S1] Fayl paqirlari sukut boʻyicha shaxsiy boʻlishini va kirish faqat belgilangan xavfsizlik siyosatlari orqali berilishini taʼminlash uchun saqlashga kirishni boshqarishni sozlang. [S3]