FixVibe
Covered by FixVibehigh

Supabase זיכערהייט טשעקליסט: RLS, API שליסלען און סטאָרידזש

דער פאָרשונג אַרטיקל אַוטליינז קריטיש זיכערהייט קאַנפיגיעריישאַנז פֿאַר Supabase פּראַדזשעקס. עס פאָוקיסיז אויף די געהעריק ימפּלאַמענטיישאַן פון Row Level Security (RLS) צו באַשיצן דאַטאַבייס ראָוז, זיכער האַנדלינג פון אַנאָן און סערוויס_ראָלע API שליסלען, און ענפאָרסינג אַקסעס קאָנטראָל פֿאַר סטאָרידזש באַקאַץ צו פאַרמינערן די ריסקס פון דאַטן ויסשטעלן און אַנאָטערייזד אַקסעס.

CWE-284CWE-668

# # דער האקן

סיקיורינג אַ Supabase פּרויעקט ריקווייערז אַ מאַלטי-לייערד צוגאַנג פאָוקיסינג אויף API שליסל פאַרוואַלטונג, דאַטאַבייס זיכערהייט און סטאָרידזש פּערמישאַנז. [S1] ימפּראַפּערלי קאַנפיגיערד ראָוו לעוועל זיכערהייט (RLS) אָדער יקספּאָוזד שפּירעוודיק שליסלען קענען פירן צו באַטייַטיק דאַטן ויסשטעלן ינסאַדאַנץ. [S2] [S3]

# # וואס האט זיך געטוישט

דער פאָרשונג קאַנסאַלאַדייץ האַרץ זיכערהייט קאָנטראָלס פֿאַר Supabase ינווייראַנמאַנץ באזירט אויף באַאַמטער אַרקאַטעקטשער גיידליינז. [S1] עס פאָוקיסיז אויף די יבערגאַנג פון פעליקייַט אַנטוויקלונג קאַנפיגיעריישאַנז צו פּראָדוקציע-פאַרגליווערט פּאָסטטשערז, ספּאַסיפיקלי וועגן אַקסעס קאָנטראָל מעקאַניזאַמז. [S2] [S3]

# # ווער איז באטראפן

אַפּפּליקאַטיאָנס ניצן Supabase ווי אַ באַקענד-ווי-אַ-סערוויס (BaaS) זענען אַפעקטאַד, ספּעציעל יענע וואָס שעפּן באַניצער-ספּעציפיש דאַטן אָדער פּריוואַט אַסעץ. [S2] דעוועלאָפּערס וואָס אַרייַננעמען די service_role שליסל אין קליענט-זייַט באַנדאַלז אָדער פאַרלאָזן צו געבן RLS זענען אין הויך ריזיקירן. [S1]

ווי די אַרויסגעבן אַרבעט

Supabase לעוועראַדזשאַז די Row Level Security פון PostgreSQL צו באַגרענעצן דאַטן אַקסעס. [S2] דורך פעליקייַט, אויב RLS איז נישט ענייבאַלד אויף אַ טיש, יעדער באַניצער מיט די anon שליסל - וואָס איז אָפט עפנטלעך - קענען אַקסעס אַלע רעקאָרדס. [S1] סימילאַרלי, Supabase סטאָרידזש ריקווייערז יקספּליסאַט פּאַלאַסיז צו דעפינירן וואָס ניצערס אָדער ראָלעס קענען דורכפירן אַפּעריישאַנז אויף טעקע באַקאַץ. [S3]

# # וואס א אטאקע באקומט

אַ אַטאַקער וואָס פאַרמאָגט אַ עפנטלעך API שליסל קענען גווורע טישן פעלנדיק RLS צו לייענען, מאָדיפיצירן אָדער ויסמעקן דאַטן וואָס געהערן צו אנדערע ניצערס. [S1] [S2] אַנאָטערייזד אַקסעס צו סטאָרידזש באַקאַץ קענען פירן צו ויסשטעלן פון פּריוואַט באַניצער טעקעס אָדער דילישאַן פון קריטיש אַפּלאַקיישאַן אַסעץ. [S3]

ווי FixVibe טעסץ פֿאַר עס

FixVibe קאָווערס דאָס איצט ווי אַ טייל פון זיין Supabase טשעקס. baas.supabase-security-checklist-backfill באריכטן עפנטלעך Supabase מעטאַדאַטאַ פון סטאָרידזש עמער, אַנאָנימע באַנוצערס ויסשטעלן פון אַבדזשעקץ, שפּירעוודיק עמער נאַמינג און אַנאָן-געבונדן סטאָרידזש סיגנאַלז פון די ציבור אַנאָן גרענעץ. פֿאַרבונדענע לעבן טשעקס דורכקוקן די סערוויס-ראָלע שליסל ויסשטעלן, Supabase REST / RLS האַלטנ זיך, און ריפּאַזאַטאָרי סקל מיגריישאַנז פֿאַר פעלנדיק RLS.

וואָס צו פאַרריכטן

שטענדיק געבן ראָוו לעוועל זיכערהייט אויף דייטאַבייס טישן און ינסטרומענט גראַניאַלער פּאַלאַסיז פֿאַר אָטענטאַקייטאַד ניצערס. [S2] פאַרזיכערן אַז בלויז די 'אַנאָן' שליסל איז געניצט אין קליענט זייַט קאָד, בשעת די 'סערוויס_ראָלע' שליסל בלייבט אויף די סערווער. [S1] קאַנפיגיער סטאָרידזש אַקסעס קאָנטראָל צו ענשור אַז טעקע באַקאַץ זענען פּריוואַט דורך פעליקייַט און אַקסעס איז געגעבן בלויז דורך דיפיינד זיכערהייט פּאַלאַסיז. [S3]