Clave privilegiada en el frontend
Las claves service-role y secret evitan RLS y nunca deben llegar al navegador.
Comprobaciones de Supabase
BoringSec distingue claves públicas de secretos privilegiados y usa sondas limitadas de solo lectura cuando puede verificar el proyecto y la clave pública.
Úsalo tras cambios en políticas, almacenamiento, autenticación o entorno y antes de exponer datos reales.
Escanea solo sistemas propios o para los que tengas autorización. Los motores profundos requieren autorización verificada y pueden no estar disponibles para un objetivo.
Estructura de ejemplo del informe
Este hallazgo es ilustrativo, no un resultado de tu aplicación. Los informes reales muestran el escáner, el estado de la evidencia y los límites de cobertura del objetivo.
Rutas de riesgo comunes
Son patrones de riesgo relevantes para proyectos de Supabase, no afirmaciones sobre todos ellos. Solo aparece un hallazgo cuando un escáner aporta evidencia.
Las claves service-role y secret evitan RLS y nunca deben llegar al navegador.
Políticas ausentes o amplias pueden exponer datos por la API pública.
Las políticas de buckets y objetos pueden exponer archivos no enlazados.
Cobertura honesta
La URL, el código conectado y los motores profundos autorizados responden preguntas distintas. BoringSec separa las fuentes y muestra estados parciales, bloqueados o no disponibles.
Leer la metodología pública (en inglés)Detecta URLs compatibles y diferencia claves públicas de formatos privilegiados.
Usa lecturas acotadas y reporta resultados restringidos, vulnerables, no verificados u omitidos.
Comprueba listados limitados sin subir, cambiar ni borrar objetos.
Fallos de assets, límites y rechazos reducen la cobertura en lugar de producir un aprobado.
De la observación a la verificación
Inspecciona la respuesta pública e inicia los motores en segundo plano que sean aplicables.
Consulta qué se observó, qué escáner lo produjo y con qué confianza.
Usa una corrección concreta y el contexto relevante para RLS de Supabase.
Ejecuta una evaluación nueva; la monitorización detecta regresiones posteriores.
No. Las claves públicas son esperadas; RLS y las políticas de almacenamiento son el límite de seguridad.
No. Las sondas son limitadas y de solo lectura; no insertan, actualizan ni eliminan.
No. Solo prueba rutas observadas; roles autenticados y tablas no descubiertas requieren contexto autorizado.
No. La cobertura parcial, bloqueada o no disponible sigue visible.
Empieza por la URL pública. Añade código o contexto autenticado solo cuando decidas ampliar la cobertura.
Iniciar un escaneo de seguridad