FixVibe
Covered by FixVibehigh

אַנאָטערייזד דאַטאַ אַקסעס דורך פעלנדיק Supabase ראָוו לעוועל זיכערהייט (RLS)

אין Supabase-באַקט אַפּלאַקיישאַנז, דאַטן זיכערהייט רילייז אויף ראָוו לעוועל זיכערהייט (RLS). אויב RLS איז נישט בפירוש ענייבאַלד און קאַנפיגיערד מיט פּאַלאַסיז, ​​יעדער באַניצער מיט די עפנטלעך אַנאַנאַמאַס שליסל קענען לייענען, דערהייַנטיקן אָדער ויסמעקן דאַטן איבער די גאנצע דאַטאַבייס. דאָס איז דער הויפּט קריטיש אין Next.js ינווייראַנמאַנץ, ווו די Supabase קליענט איז אָפט יניטיאַלייזד מיט אַ ציבור API שליסל.

CWE-284

אימפאקט

דורכפאַל צו ינסטרומענט ראָוו לעוועל זיכערהייט (RLS) אַלאַוז אַנאָטהענטאַקייטאַד אַטאַקערז צו אָנפֿרעג דאַטן פֿון אַ Supabase דאַטאַבייס ווען עפנטלעך טישן זענען יקספּאָוזד דורך די אַנאָן גרענעץ [S1]. ווייַל Next.js אַפּלאַקיישאַנז טיפּיקלי ויסשטעלן די Supabase anon שליסל אין קליענט זייַט קאָד, אַ אַטאַקער קענען נוצן דעם שליסל צו מאַכן דירעקט REST API רופט צו די דאַטאַבייס, בייפּאַסינג די בדעה סענסיטיוו באַניצער אינפֿאָרמאַציע [S2].

וואָרצל גרונט

דורך פעליקייַט, Postgres טישן אין Supabase דאַרפן יקספּליסאַט אַקטאַוויישאַן פון ראָוו לעוועל זיכערהייט צו פאַרמייַדן ציבור אַקסעס [S1]. ווען אַ דעוועלאָפּער קריייץ אַ טיש אָבער פארגעסט צו געבן RLS אָדער פיילז צו דעפינירן ריסטריקטיוו פּאַלאַסיז, ​​די דאַטאַבייס קען ויסשטעלן דאַטן צו ווער עס יז וואָס פאַרמאָגן די פּרויעקט anon שליסל [S1]. אין Next.js אַפּלאַקיישאַנז, סערווער-זייַט רענדערינג און קליענט-זייַט פעטשינג אויך דאַרפן אָפּגעהיט Supabase קליענט סעטאַפּ אַזוי אָטענטאַקייטאַד באַניצער קאָנטעקסט ריטשאַז די דאַטאַבייס שיכטע [S2].

באַטאָנען פיקסיז

  • געבן RLS: ויספירן ALTER TABLE "your_table_name" ENABLE ROW LEVEL SECURITY; פֿאַר יעדער עפנטלעך טיש וואָס סטאָרז אַפּ דאַטן [S1].
  • דעפינירן פּאָליסיעס: שאַפֿן ספּעציפיש פּאַלאַסיז וואָס באַגרענעצן אַקסעס באזירט אויף דער באַניצער ס אָטענטאַקיישאַן סטאַטוס, אַזאַ ווי CREATE POLICY "Users can see their own data" ON your_table_name FOR SELECT USING (auth.uid() = user_id); [S1].
  • זיכער סערווירער-זייַט קלייאַנץ: ווען ניצן Next.js, האַלטן סערוויס-ראָלע קלייאַנץ בלויז סערווער און נאָך צולייגן אָונערשיפּ פילטערס איידער צוריקקומען דאַטן צו וסערס [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe לויפט שוין אַ לייענען-בלויז Supabase RLS טשעק דורך baas.supabase-rls. דער סקאַננער דיסקאַווערז די Supabase פּרויעקט URL און עפנטלעך אַנאָן שליסל פֿון זעלבן אָריגין דזשאַוואַסקריפּט באַנדאַלז, פרעגט PostgREST פֿאַר עפנטלעך טיש מעטאַדאַטאַ, און פרווון לימיטעד לייענען-בלויז סאַלעקץ צו באַשטעטיקן צי דאַטן זענען יקספּאָוזד אָן אַ באַניצער סעסיע. עס טוט נישט אַרייַנלייגן, דערהייַנטיקן, ויסמעקן אָדער נוצן סערוויס-ראָלע קראַדענטשאַלז. רעפּאָ סקאַנז קענען אויך כאַפּן דעם פריער דורך repo.supabase.missing-rls, וואָס פלאַגס סקל מיגריישאַנז וואָס שאַפֿן עפנטלעך טישן אָן ENABLE ROW LEVEL SECURITY.