FixVibe
Covered by FixVibehigh

Awọn ofin Aabo Firebase: Idilọwọ Ifihan Data Laigba aṣẹ

Awọn ofin Aabo Firebase jẹ aabo akọkọ fun awọn ohun elo olupin ti o lo Firestore ati Ibi ipamọ awọsanma. Nigbati awọn ofin wọnyi ba gba laaye pupọ, gẹgẹ bi gbigba kika agbaye tabi iraye si kikọ ni iṣelọpọ, awọn ikọlu le fori ọgbọn ohun elo ti a pinnu lati ji tabi paarẹ data ifura. Iwadi yii ṣawari awọn atunto aiṣedeede ti o wọpọ, awọn eewu ti awọn aṣiṣe 'ipo idanwo', ati bii o ṣe le ṣe imuse iṣakoso wiwọle orisun idanimọ.

CWE-284CWE-863

Awọn Ofin Aabo Firebase n pese granular kan, ẹrọ ti a fi agbara mu olupin lati daabobo data ni Firestore, Database Realtime, ati Ibi ipamọ Awọsanma [S1]. Nitori awọn ohun elo Firebase nigbagbogbo nlo pẹlu awọn iṣẹ awọsanma wọnyi taara lati ẹgbẹ alabara, awọn ofin wọnyi ṣe aṣoju idena nikan ni idilọwọ iraye si laigba aṣẹ si data ẹhin [S1].

Ipa ti Awọn ofin Gbigbanilaaye

Awọn ofin aiṣedeede le ja si ifihan data pataki [S2]. Ti a ba ṣeto awọn ofin lati jẹ igbanilaaye pupọju-fun apẹẹrẹ, lilo awọn eto 'ipo idanwo' aiyipada ti o gba iraye si agbaye—olumulo eyikeyi ti o ni imọ ID iṣẹ akanṣe le ka, yipada, tabi paarẹ gbogbo akoonu data data [S2]. Eyi kọja gbogbo awọn igbese aabo ẹgbẹ-ẹgbẹ ati pe o le ja si isonu ti alaye olumulo ifura tabi idalọwọduro iṣẹ lapapọ [S2].

Gbongbo Fa: Insufficient ašẹ kannaa

Idi pataki ti awọn ailagbara wọnyi ni igbagbogbo ikuna lati ṣe awọn ipo kan pato ti o ni ihamọ iwọle ti o da lori idanimọ olumulo tabi awọn abuda orisun [S3]. Awọn olupilẹṣẹ nigbagbogbo nfi awọn atunto aiyipada silẹ lọwọ ni awọn agbegbe iṣelọpọ eyiti ko fọwọsi ohun request.auth [S3]. Laisi iṣiro request.auth, eto naa ko le ṣe iyatọ laarin olumulo ti o ni ẹtọ ati olubẹwẹ alailorukọ [S3].

Imọ atunṣe

Ni aabo agbegbe Firebase nilo gbigbe lati iraye si ṣiṣi si awoṣe akọkọ-ti-anfani-kere julọ.

  • Fi agbara mu Ijeri *: Rii daju pe gbogbo awọn ọna ifura nilo igba olumulo to wulo nipa ṣiṣe ayẹwo boya ohun request.auth ko jẹ asan [S3].
  • Ṣiṣe Wiwọle ti o da lori idanimọ *: Ṣe atunto awọn ofin ti o ṣe afiwe UID olumulo (request.auth.uid) si aaye kan laarin iwe tabi ID iwe funrararẹ lati rii daju pe awọn olumulo le wọle si data tirẹ nikan [S3].

Idiyele Gbigbanilaaye Granular *: Yago fun awọn kaadi igbẹ agbaye fun awọn ikojọpọ. Dipo, setumo awọn ofin kan pato fun ikojọpọ kọọkan ati ipin-ipin lati dinku aaye ikọlu ti o pọju [S2]. Afọwọsi nipasẹ Emulator Suite *: Lo Firebase Emulator Suite lati ṣe idanwo awọn ofin aabo ni agbegbe. Eyi ngbanilaaye fun ijerisi ọgbọn iṣakoso iwọle si ọpọlọpọ awọn olumulo olumulo ṣaaju gbigbe lọ si agbegbe laaye [S2].

Bawo ni FixVibe ṣe idanwo fun rẹ

FixVibe bayi pẹlu eyi bi kika-nikan BaaS ọlọjẹ. baas.firebase-rules ayokuro Firebase iṣeto ni lati kanna-Oti JavaScript awọn edidi, pẹlu igbalode initializeApp(...) lapapo ni nitobi, ki o si sọwedowo Realtime aaye data, Firestore, ati ZXCVFIXVIBETOKEN12 kika ti ko ni ka. Fun Firestore, o kọkọ gbiyanju atokọ gbigba root; nigba ti kikojọ ti dina, o tun ṣe iwadii awọn orukọ ikojọpọ ifura ti o wọpọ gẹgẹbi users, accounts, customers, orders, ZXCVFIXVIBETOKEN6 messages, admin, ati settings. O ṣe ijabọ awọn kika alailorukọ aṣeyọri nikan tabi awọn atokọ ati pe ko kọ, paarẹ, tabi tọju akoonu iwe alabara.