FixVibe
Covered by FixVibehigh

Firebase זיכערהייט כּללים: פּרעווענטינג אַנאָטערייזד דאַטאַ ויסשטעלן

Firebase זיכערהייט רולעס זענען די ערשטיק פאַרטיידיקונג פֿאַר סערווערלעסס אַפּלאַקיישאַנז ניצן Firestore און קלאָוד סטאָרידזש. ווען די כּללים זענען אויך פּערמיסיוו, אַזאַ ווי אַלאַוינג גלאבאלע לייענען אָדער שרייַבן אַקסעס אין פּראָדוקציע, אַטאַקערז קענען בייפּאַס די בדעה אַפּלאַקיישאַן לאָגיק צו גאַנווענען אָדער ויסמעקן שפּירעוודיק דאַטן. דער פאָרשונג יקספּלאָרז פּראָסט מיסקאַנפיגיעריישאַנז, די ריסקס פון דיפאָלץ פון 'פּרובירן מאָדע' און ווי צו ינסטרומענט אידענטיטעט-באזירט אַקסעס קאָנטראָל.

CWE-284CWE-863

Firebase זיכערהייט רולעס צושטעלן אַ גראַניאַלער, סערווער ענפאָרסט מעקאַניזאַם צו באַשיצן דאַטן אין Firestore, רעאַלטימע דאַטאַבאַסע און קלאָוד סטאָרידזש [S1]. ווייַל Firebase אַפּלאַקיישאַנז אָפט ינטעראַקט מיט די וואָלקן באַדינונגס גלייַך פֿון די קליענט זייַט, די כּללים רעפּראַזענץ די בלויז שלאַבאַן וואָס פּריווענץ אַנאָטערייזד אַקסעס צו די באַקענד דאַטן [S1].

# # # אימפאקט פון פערמיסיווע כּללים מיסקאָנפיגורעד כּללים קענען פירן צו באַטייטיק דאַטן ויסשטעלן [S2]. אויב כּללים זענען באַשטימט צו זיין אָוווערלי פּערמיסיוו - פֿאַר בייַשפּיל, ניצן פעליקייַט 'פּרובירן מאָדע' סעטטינגס וואָס לאָזן גלאבאלע אַקסעס - יעדער באַניצער מיט וויסן פון די פּרויעקט שייַן קענען לייענען, מאָדיפיצירן אָדער ויסמעקן די גאנצע דאַטאַבייס אינהאַלט [S2]. דאָס בייפּאַסיז אַלע זיכערהייט מיטלען אויף דער קליענט זייַט און קען פירן צו אָנווער פון שפּירעוודיק באַניצער אינפֿאָרמאַציע אָדער גאַנץ סערוויס דיסראַפּשאַן [S2].

וואָרצל סיבה: ניט גענוגיק דערלויבעניש לאָגיק

דער וואָרצל גרונט פון די וואַלנעראַביליטיז איז טיפּיקלי די דורכפאַל צו ינסטרומענט ספּעציפיש טנאָים וואָס באַגרענעצן אַקסעס באזירט אויף באַניצער אידענטיטעט אָדער מיטל אַטריביוץ [S3]. דעוועלאָפּערס אָפט לאָזן פעליקייַט קאַנפיגיעריישאַנז אַקטיוו אין פּראָדוקציע ינווייראַנמאַנץ וואָס טאָן ניט וואַלאַדייט די request.auth כייפעץ [S3]. אָן אָפּשאַצן request.auth, די סיסטעם קען נישט ויסטיילן צווישן אַ לאַדזשיטאַמאַט אָטענטאַקייטאַד באַניצער און אַן אַנאָנימע באַנוצערס [S3].

טעכנישע רעמעדיציע

סיקיורינג אַ Firebase סוויווע ריקווייערז מאָווינג פון אָפֿן אַקסעס צו אַ הויפּט-פון-קלענסטער פּריווילעגיע מאָדעל.

  • ענפאָרס אָטענטאַקיישאַן : ענשור אַז אַלע שפּירעוודיק פּאַטס דאַרפן אַ גילטיק באַניצער סעסיע דורך קאָנטראָלירן אויב די request.auth כייפעץ איז נישט נאַל [S3].
  • ימפּלעמענט אידענטיטעט-באזירט אַקסעס : קאַנפיגיער כּללים וואָס פאַרגלייַכן די באַניצער ס UID (request.auth.uid) צו אַ פעלד אין דעם דאָקומענט אָדער די דאָקומענט שייַן זיך צו ענשור אַז יוזערז קענען בלויז אַקסעס זייער אייגענע דאַטן [S3].
  • גראַניאַלער דערלויבעניש סקאָפּינג : ויסמיידן גלאבאלע ווילדקאַרדס פֿאַר זאַמלונגען. אַנשטאָט, דעפינירן ספּעציפיש כּללים פֿאַר יעדער זאַמלונג און סאַב-זאַמלונג צו מינאַמייז די פּאָטענציעל באַפאַלן ייבערפלאַך [S2].
  • וואַלאַדיישאַן דורך עמולאַטאָר סוויט : ניצן די Firebase עמולאַטאָר סוויט צו פּרובירן זיכערהייט כּללים לאָוקאַלי. דאָס אַלאַוז פֿאַר וועראַפאַקיישאַן פון אַקסעס קאָנטראָל לאָגיק קעגן פאַרשידן באַניצער פּערסאָנאַז איידער דיפּלויינג צו אַ לעבן סוויווע [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe איצט ינקלודז דעם ווי אַ לייענען-בלויז BaaS יבערקוקן. baas.firebase-rules עקסטראַקץ Firebase קאַנפיגיעריישאַן פון זעלביק אָנהייב דזשאַוואַסקריפּט באַנדאַלז, אַרייַנגערעכנט מאָדערן initializeApp(...) פּעקל שאַפּעס, און טשעקס רעאַלטימע דאַטאַבאַסע, Firestore און Firebase לייענען-און-נאָוטליטיק סטאָרידזש בעטן. פֿאַר Firestore, עס ערשטער פרוווט וואָרצל זאַמלונג ליסטינג; ווען ליסטינג איז בלאַקט, עס אויך פּראָבז פּראָסט שפּירעוודיק זאַמלונג נעמען אַזאַ ווי users, accounts, customers, orders, ZXCVFIXVIBETOKEN6ZXZVIXV, ZXCVFIXVIBETOKEN6ZXZVIXV, ZBEVCVCV, admin און settings. עס ריפּאָרץ בלויז געראָטן אַנאָנימע באַנוצערס לייענען אָדער ליסטינגס און קען נישט שרייַבן, ויסמעקן אָדער קראָם אינהאַלט פון קונה דאָקומענטן.