Privilegierter Schlüssel im Frontend
Service-Role- und Secret-Schlüssel umgehen RLS und dürfen nie den Browser erreichen.
Supabase-Sicherheitsprüfungen
BoringSec unterscheidet öffentliche Client-Schlüssel von privilegierten Secrets und nutzt begrenzte Nur-Lese-Probes bei verifizierbarem Projekt.
Nach Änderungen an Richtlinien, Storage, Authentifizierung oder Umgebung und vor echten Kundendaten ausführen.
Scannen Sie nur eigene oder ausdrücklich freigegebene Systeme. Tiefen-Engines erfordern eine bestätigte Autorisierung und können für ein Ziel nicht verfügbar sein.
Beispielhafte Berichtsstruktur
Dieser Befund ist nur ein Beispiel und kein Ergebnis für Ihre Anwendung. Live-Berichte zeigen Scanner, Nachweisstatus und Abdeckungsgrenzen des tatsächlichen Ziels.
Typische Risikopfade
Dies sind für Supabase-Projekte relevante Risikomuster, keine Behauptungen über jedes Projekt. Ein Befund entsteht nur mit Scanner-Nachweis.
Service-Role- und Secret-Schlüssel umgehen RLS und dürfen nie den Browser erreichen.
Fehlende oder breite Richtlinien können Daten über die öffentliche API freigeben.
Bucket- und Objektrichtlinien können nicht verlinkte Dateien offenlegen.
Ehrliche Abdeckung
URL, verbundener Quellcode und autorisierte Tiefen-Engines beantworten unterschiedliche Fragen. BoringSec trennt die Quellen und zeigt teilweise, blockierte oder nicht verfügbare Zustände.
Öffentliche Methodik lesen (auf Englisch)Erkennt unterstützte URLs und trennt öffentliche von privilegierten Schlüsselformaten.
Nutzt gedeckelte Leseanfragen und meldet eingeschränkte, anfällige, ungeprüfte oder übersprungene Ergebnisse.
Prüft begrenztes Bucket-Listing ohne Objekte hochzuladen, zu ändern oder zu löschen.
Fehler, Limits und Ablehnungen reduzieren die Abdeckung statt einen Pass zu erzeugen.
Von der Beobachtung zur Verifizierung
Öffentliche Antworten prüfen und geeignete Hintergrund-Engines starten.
Sehen Sie, was welcher Scanner mit welcher Sicherheit beobachtet hat.
Nutzen Sie einen konkreten Lösungsweg und den relevanten Supabase RLS-Kontext.
Starten Sie eine neue Bewertung; Monitoring erkennt spätere Regressionen.
Nein. Öffentliche Client-Schlüssel sind vorgesehen; RLS und Storage-Richtlinien bilden die Grenze.
Nein. Probes sind begrenzt und nur lesend; sie fügen nichts ein, ändern und löschen nichts.
Nein. Nur beobachtete Pfade werden belegt; authentifizierte Rollen benötigen autorisierten Kontext.
Nein. Teilweise, blockierte und nicht verfügbare Abdeckung bleibt sichtbar.
Beginnen Sie mit der öffentlichen URL. Quellcode oder authentifizierten Kontext fügen Sie nur bei Bedarf hinzu.
Sicherheitsscan starten