Saltar al contenido

Comprobaciones de Supabase

Comprueba el límite de Supabase que alcanzan los usuarios

BoringSec distingue claves públicas de secretos privilegiados y usa sondas limitadas de solo lectura cuando puede verificar el proyecto y la clave pública.

Úsalo tras cambios en políticas, almacenamiento, autenticación o entorno y antes de exponer datos reales.

Escanea solo sistemas propios o para los que tengas autorización. Los motores profundos requieren autorización verificada y pueden no estar disponibles para un objetivo.

informe / hallazgo de ejemploIlustrativo
Crítico

Estructura de ejemplo del informe

Una solicitud anónima puede leer filas

Evidencia
Una lectura acotada con el contexto público devolvió datos; la evidencia capturada se minimiza.
Qué significa
La ruta observada indica RLS ausente o demasiado amplia.
Corregir y verificar
Activa RLS, aplica políticas de mínimo privilegio, revisa la exposición y verifica.

Este hallazgo es ilustrativo, no un resultado de tu aplicación. Los informes reales muestran el escáner, el estado de la evidencia y los límites de cobertura del objetivo.

Rutas de riesgo comunes

Qué merece una revisión más profunda

Son patrones de riesgo relevantes para proyectos de Supabase, no afirmaciones sobre todos ellos. Solo aparece un hallazgo cuando un escáner aporta evidencia.

Clave privilegiada en el frontend

Las claves service-role y secret evitan RLS y nunca deben llegar al navegador.

Lectura anónima de filas

Políticas ausentes o amplias pueden exponer datos por la API pública.

Almacenamiento público o enumerable

Las políticas de buckets y objetos pueden exponer archivos no enlazados.

Cobertura honesta

Qué puede demostrar cada superficie de escaneo

La URL, el código conectado y los motores profundos autorizados responden preguntas distintas. BoringSec separa las fuentes y muestra estados parciales, bloqueados o no disponibles.

Leer la metodología pública (en inglés)
URL en vivo

Clasificación de proyecto y claves

Detecta URLs compatibles y diferencia claves públicas de formatos privilegiados.

URL en vivo

Sondas limitadas de tablas

Usa lecturas acotadas y reporta resultados restringidos, vulnerables, no verificados u omitidos.

URL en vivo

Estado del almacenamiento

Comprueba listados limitados sin subir, cambiar ni borrar objetos.

Condicional

Incertidumbre explícita

Fallos de assets, límites y rechazos reducen la cobertura en lugar de producir un aprobado.

De la observación a la verificación

Un informe orientado a la siguiente acción

  1. 01

    Observar

    Inspecciona la respuesta pública e inicia los motores en segundo plano que sean aplicables.

  2. 02

    Verificar evidencia

    Consulta qué se observó, qué escáner lo produjo y con qué confianza.

  3. 03

    Corregir con contexto

    Usa una corrección concreta y el contexto relevante para RLS de Supabase.

  4. 04

    Volver a probar

    Ejecuta una evaluación nueva; la monitorización detecta regresiones posteriores.

Preguntas antes de escanear

¿Una clave anon de Supabase es un secreto filtrado?

No. Las claves públicas son esperadas; RLS y las políticas de almacenamiento son el límite de seguridad.

¿El escaneo modifica la base de datos?

No. Las sondas son limitadas y de solo lectura; no insertan, actualizan ni eliminan.

¿Puede probar todas las políticas RLS?

No. Solo prueba rutas observadas; roles autenticados y tablas no descubiertas requieren contexto autorizado.

¿Un resultado limpio demuestra que Supabase es seguro?

No. La cobertura parcial, bloqueada o no disponible sigue visible.

Comprueba la aplicación desplegada y verifica cada corrección

Empieza por la URL pública. Añade código o contexto autenticado solo cuando decidas ampliar la cobertura.

Iniciar un escaneo de seguridad