hacktricks-cloud/src/pentesting-ci-cd/supabase-security.md

Supabase 安全

{{#include ../banners/hacktricks-training.md}}

基本信息

根据他们的 着陆页: Supabase 是一个开源的 Firebase 替代品。使用 Postgres 数据库、身份验证、即时 API、边缘函数、实时订阅、存储和向量嵌入开始您的项目。

子域名

基本上，当创建一个项目时，用户将收到一个 supabase.co 子域名，如：jnanozjdybtpqgcwhdiz.supabase.co

数据库配置

Tip

可以通过链接访问这些数据，如 https://supabase.com/dashboard/project/<project-id>/settings/database

这个 数据库 将部署在某个 AWS 区域，为了连接到它，可以通过以下方式连接：postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres（这是在 us-west-1 创建的）。
密码是用户之前设置的 密码。

因此，由于子域名是已知的，并且它被用作用户名，而 AWS 区域是有限的，可能可以尝试 暴力破解密码。

本节还包含以下选项：

• 重置数据库密码
• 配置连接池
• 配置 SSL：拒绝明文连接（默认情况下启用）
• 配置磁盘大小
• 应用网络限制和禁令

API 配置

Tip

可以通过链接访问这些数据，如 https://supabase.com/dashboard/project/<project-id>/settings/api

访问您项目中 supabase API 的 URL 将类似于：https://jnanozjdybtpqgcwhdiz.supabase.co。

匿名 API 密钥

它还将生成一个 匿名 API 密钥 (role: "anon")，如：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk，应用程序需要使用它来联系我们示例中的 API 密钥。

可以在 文档 中找到联系此 API 的 API REST，但最有趣的端点将是：

注册 (/auth/v1/signup)

``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

<details>

<summary>登录 (/auth/v1/token?grant_type=password)</summary>

POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

因此，每当您发现客户使用其被授予的子域名的 supabase（公司可能有一个 CNAME 指向他们的 supabase 子域名），您可以尝试 **使用 supabase API 创建一个新账户**。

### secret / service_role api keys

将生成一个秘密 API 密钥，**`role: "service_role"`**。这个 API 密钥应该是秘密的，因为它能够绕过 **行级安全**。

API 密钥看起来像这样：`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### JWT Secret

还将生成一个 **JWT Secret**，以便应用程序可以 **创建和签名自定义 JWT 令牌**。

## 认证

### 注册

> [!TIP]
> 默认情况下，supabase 将允许 **新用户在您的项目中创建账户**，使用之前提到的 API 端点。

然而，这些新账户默认情况下 **需要验证他们的电子邮件地址** 才能登录账户。可以启用 **“允许匿名登录”** 以允许人们在不验证电子邮件地址的情况下登录。这可能会授予对 **意外数据** 的访问（他们获得 `public` 和 `authenticated` 角色）。\
这是一个非常糟糕的主意，因为 supabase 按活跃用户收费，因此人们可以创建用户并登录，而 supabase 将为这些用户收费：

<figure><img src="../images/image (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

### 密码和会话

可以指示最小密码长度（默认），要求（默认不要求）并禁止使用泄露的密码。\
建议 **提高要求，因为默认要求较弱**。

- 用户会话：可以配置用户会话的工作方式（超时，每个用户 1 个会话...）
- 机器人和滥用保护：可以启用验证码。

### SMTP 设置

可以设置 SMTP 以发送电子邮件。

### 高级设置

- 设置访问令牌的过期时间（默认 3600）
- 设置检测和撤销潜在被泄露的刷新令牌和超时
- MFA：指示每个用户可以同时注册多少个 MFA 因素（默认 10）
- 最大直接数据库连接：用于身份验证的最大连接数（默认 10）
- 最大请求持续时间：身份验证请求允许持续的最大时间（默认 10 秒）

## 存储

> [!TIP]
> Supabase 允许 **存储文件** 并通过 URL 使其可访问（使用 S3 存储桶）。

- 设置上传文件大小限制（默认 50MB）
- S3 连接通过以下 URL 提供：`https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
- 可以 **请求 S3 访问密钥**，由 `access key ID`（例如 `a37d96544d82ba90057e0e06131d0a7b`）和 `secret access key`（例如 `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`）组成

## Edge Functions

还可以在 supabase 中 **存储秘密**，这些秘密将由 **边缘函数** 访问（可以从网页创建和删除，但无法直接访问其值）。

{{#include ../banners/hacktricks-training.md}}