Uprzywilejowany klucz we frontendzie
Klucze service-role i secret omijają RLS i nie mogą trafić do przeglądarki.
Kontrole bezpieczeństwa Supabase
BoringSec odróżnia publiczne klucze klienta od uprzywilejowanych sekretów i stosuje ograniczone próby tylko do odczytu, gdy projekt można zweryfikować.
Użyj po zmianach polityk, storage, uwierzytelniania lub środowiska i przed udostępnieniem prawdziwych danych.
Skanuj wyłącznie własne systemy lub te, na które masz zgodę. Głębokie silniki wymagają potwierdzonej autoryzacji i mogą być niedostępne.
Przykładowa struktura raportu
To przykładowe znalezisko, a nie wynik Twojej aplikacji. Raporty na żywo pokazują skaner, stan dowodów i ograniczenia pokrycia konkretnego celu.
Typowe ścieżki ryzyka
To wzorce ryzyka istotne dla projektów Supabase, a nie twierdzenia o każdym projekcie. Znalezisko powstaje tylko wtedy, gdy skaner dostarczy dowód.
Klucze service-role i secret omijają RLS i nie mogą trafić do przeglądarki.
Brakujące lub zbyt szerokie polityki mogą ujawnić dane przez publiczne API.
Polityki bucketów i obiektów mogą ujawnić pliki bez linków w interfejsie.
Uczciwe pokrycie
URL, połączony kod i autoryzowane głębokie silniki odpowiadają na różne pytania. BoringSec rozdziela źródła i pokazuje stany częściowe, zablokowane oraz niedostępne.
Przeczytaj publiczną metodologię (po angielsku)Wykrywa obsługiwane URL i rozróżnia klucze publiczne od uprzywilejowanych formatów.
Używa odczytów z limitem i raportuje stan ograniczony, podatny, niezweryfikowany lub pominięty.
Sprawdza ograniczone listowanie bucketów bez wysyłania, zmiany ani usuwania obiektów.
Błędy, limity i odrzucenia obniżają pokrycie zamiast tworzyć zaliczenie.
Od obserwacji do weryfikacji
Sprawdź publiczną odpowiedź i uruchom odpowiednie silniki w tle.
Zobacz, co zaobserwowano, który skaner to wykrył i z jaką pewnością.
Użyj konkretnej ścieżki naprawy i kontekstu odpowiedniego dla Supabase RLS.
Uruchom nową ocenę; monitoring wykryje późniejsze regresje.
Nie. Publiczne klucze klienta są oczekiwane; RLS i polityki storage tworzą granicę.
Nie. Próby są ograniczone i tylko do odczytu; niczego nie dodają, nie zmieniają ani nie usuwają.
Nie. Potwierdza tylko obserwowane ścieżki; role uwierzytelnione wymagają autoryzowanego kontekstu.
Nie. Częściowe, zablokowane i niedostępne pokrycie pozostaje widoczne.
Zacznij od publicznego URL. Kod lub uwierzytelniony kontekst dodaj tylko wtedy, gdy chcesz rozszerzyć pokrycie.
Uruchom skan bezpieczeństwa