Ga naar inhoud

Supabase-beveiligingscontroles

Controleer de Supabase-grens die gebruikers echt bereiken

BoringSec onderscheidt openbare clientsleutels van bevoorrechte secrets en gebruikt begrensde alleen-lezen probes wanneer het project verifieerbaar is.

Gebruik dit na wijzigingen aan beleid, opslag, authenticatie of omgeving en vóór echte klantdata.

Scan alleen eigen systemen of systemen waarvoor je toestemming hebt. Diepe engines vereisen geverifieerde toestemming en kunnen niet beschikbaar zijn.

rapport / voorbeeldbevindingIllustratief
Kritiek

Voorbeeld van de rapportstructuur

Anoniem verzoek kan tabelrijen lezen

Bewijs
Een begrensd leesverzoek met openbare context gaf data terug; opgeslagen bewijs wordt geminimaliseerd.
Wat dit betekent
Het waargenomen pad wijst op ontbrekend of te ruim RLS.
Herstellen en verifiëren
Schakel RLS in, pas minimale rechten toe, beoordeel blootstelling en verifieer.

Deze bevinding is illustratief en geen resultaat voor jouw applicatie. Live-rapporten tonen de scanner, bewijsstatus en dekkingsgrenzen van het echte doelwit.

Veelvoorkomende risicopaden

Wat nader onderzoek verdient

Dit zijn relevante risicopatronen voor Supabase-projecten, geen uitspraken over elk project. Een bevinding verschijnt alleen met scannerbewijs.

Bevoorrechte sleutel in de frontend

Service-role- en secretsleutels omzeilen RLS en mogen nooit de browser bereiken.

Anonieme leestoegang tot rijen

Ontbrekend of ruim beleid kan data via de openbare API blootstellen.

Openbare of opsombare opslag

Bucket- en objectbeleid kan bestanden blootstellen die de interface niet linkt.

Eerlijke dekking

Wat elk scanoppervlak kan bewijzen

URL, gekoppelde broncode en geautoriseerde diepe engines beantwoorden andere vragen. BoringSec houdt bronnen gescheiden en toont gedeeltelijke, geblokkeerde en niet-beschikbare statussen.

Lees de openbare methodologie (in het Engels)
Live-URL

Project- en sleutelclassificatie

Detecteert ondersteunde URL’s en onderscheidt openbare van bevoorrechte sleutelformaten.

Live-URL

Begrensde tabelprobes

Gebruikt gelimiteerde leesverzoeken en rapporteert beperkt, kwetsbaar, niet-geverifieerd of overgeslagen.

Live-URL

Opslagstatus

Controleert begrensd bucketlisten zonder objecten te uploaden, wijzigen of verwijderen.

Voorwaardelijk

Expliciete onzekerheid

Fouten, limieten en weigeringen verlagen de dekking in plaats van een voldoende te geven.

Van observatie naar verificatie

Een rapport voor de volgende actie

  1. 01

    Observeren

    Inspecteer de openbare respons en start toepasselijke achtergrond-engines.

  2. 02

    Bewijs verifiëren

    Bekijk wat is waargenomen, door welke scanner en met welk vertrouwen.

  3. 03

    In context herstellen

    Gebruik een concrete herstelroute en de relevante Supabase RLS-context.

  4. 04

    Opnieuw testen

    Voer een nieuwe beoordeling uit; monitoring detecteert latere regressies.

Vragen vóór de scan

Is een Supabase anon-sleutel een gelekt secret?

Nee. Openbare clientsleutels zijn verwacht; RLS en opslagbeleid vormen de beveiligingsgrens.

Wijzigt de scan de database?

Nee. Probes zijn begrensd en alleen-lezen; ze voegen niets toe, wijzigen en verwijderen niets.

Kan de scan elk RLS-beleid bewijzen?

Nee. Alleen waargenomen paden; geauthenticeerde rollen vereisen geautoriseerde context.

Bewijst een schoon resultaat dat Supabase veilig is?

Nee. Gedeeltelijke, geblokkeerde en niet-beschikbare dekking blijft zichtbaar.

Controleer de uitgerolde applicatie en verifieer elke oplossing

Begin met de openbare URL. Voeg broncode of geauthenticeerde context alleen toe als je de dekking wilt uitbreiden.

Start een beveiligingsscan