Selon leur page d'accueil : Supabase est une alternative open source à Firebase. Commencez votre projet avec une base de données Postgres, Authentification, APIs instantanées, Fonctions Edge, abonnements en temps réel, Stockage et embeddings vectoriels.
Sous-domaine
En gros, lorsqu'un projet est créé, l'utilisateur recevra un sous-domaine supabase.co comme : jnanozjdybtpqgcwhdiz.supabase.co
Configuration de la base de données
Ces données peuvent être accessibles via un lien comme https://supabase.com/dashboard/project/<project-id>/settings/database
Cette base de données sera déployée dans une région AWS, et pour s'y connecter, il serait possible de le faire en se connectant à : postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (cela a été créé dans us-west-1).
Le mot de passe est un mot de passe que l'utilisateur a saisi précédemment.
Par conséquent, comme le sous-domaine est connu et qu'il est utilisé comme nom d'utilisateur et que les régions AWS sont limitées, il pourrait être possible d'essayer de forcer le mot de passe.
Cette section contient également des options pour :
Réinitialiser le mot de passe de la base de données
Configurer le pooling de connexions
Configurer SSL : Rejeter les connexions en texte clair (par défaut, elles sont activées)
Configurer la taille du disque
Appliquer des restrictions et des interdictions réseau
Configuration de l'API
Ces données peuvent être accessibles via un lien comme https://supabase.com/dashboard/project/<project-id>/settings/api
L'URL pour accéder à l'API supabase dans votre projet sera comme : https://jnanozjdybtpqgcwhdiz.supabase.co.
clés API anon
Elle générera également une clé API anon (role: "anon"), comme : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk que l'application devra utiliser pour contacter la clé API exposée dans notre exemple dans
Il est possible de trouver l'API REST pour contacter cette API dans les docs, mais les points de terminaison les plus intéressants seraient :
</details>
Donc, chaque fois que vous découvrez un client utilisant supabase avec le sous-domaine qui lui a été accordé (il est possible qu'un sous-domaine de l'entreprise ait un CNAME sur leur sous-domaine supabase), vous pourriez essayer de **créer un nouveau compte sur la plateforme en utilisant l'API supabase**.
### clés API secret / service\_role
Une clé API secrète sera également générée avec **`role: "service_role"`**. Cette clé API doit rester secrète car elle pourra contourner **Row Level Security**.
La clé API ressemble à ceci : `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### JWT Secret
Un **JWT Secret** sera également généré afin que l'application puisse **créer et signer des jetons JWT personnalisés**.
## Authentification
### Inscription
<div data-gb-custom-block data-tag="hint" data-style='success'>
Par **défaut**, supabase permettra **aux nouveaux utilisateurs de créer des comptes** sur votre projet en utilisant les points de terminaison API mentionnés précédemment.
</div>
Cependant, ces nouveaux comptes, par défaut, **devront valider leur adresse e-mail** pour pouvoir se connecter au compte. Il est possible d'activer **"Autoriser les connexions anonymes"** pour permettre aux personnes de se connecter sans vérifier leur adresse e-mail. Cela pourrait donner accès à **des données inattendues** (ils obtiennent les rôles `public` et `authenticated`).\
C'est une très mauvaise idée car supabase facture par utilisateur actif, donc les gens pourraient créer des utilisateurs et se connecter et supabase facturera pour ceux-ci :
<figure><img src="../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
### Mots de passe & sessions
Il est possible d'indiquer la longueur minimale des mots de passe (par défaut), les exigences (aucune par défaut) et d'interdire l'utilisation de mots de passe compromis.\
Il est recommandé d'**améliorer les exigences car celles par défaut sont faibles**.
* Sessions utilisateur : Il est possible de configurer le fonctionnement des sessions utilisateur (délai, 1 session par utilisateur...)
* Protection contre les bots et les abus : Il est possible d'activer le Captcha.
### Paramètres SMTP
Il est possible de définir un SMTP pour envoyer des e-mails.
### Paramètres avancés
* Définir le temps d'expiration des jetons d'accès (3600 par défaut)
* Détecter et révoquer les jetons de rafraîchissement potentiellement compromis et le délai d'expiration
* MFA : Indiquer combien de facteurs MFA peuvent être enregistrés à la fois par utilisateur (10 par défaut)
* Max Connections Directes à la Base de Données : Nombre maximum de connexions utilisées pour l'authentification (10 par défaut)
* Durée Maximale de la Demande : Temps maximum autorisé pour qu'une demande d'authentification dure (10s par défaut)
## Stockage
<div data-gb-custom-block data-tag="hint" data-style='success'>
Supabase permet **de stocker des fichiers** et de les rendre accessibles via une URL (il utilise des buckets S3).
</div>
* Définir la limite de taille des fichiers à télécharger (la valeur par défaut est 50 Mo)
* La connexion S3 est donnée avec une URL comme : `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* Il est possible de **demander une clé d'accès S3** qui est formée par un `access key ID` (par exemple, `a37d96544d82ba90057e0e06131d0a7b`) et une `secret access key` (par exemple, `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)
## Fonctions Edge
Il est possible de **stocker des secrets** dans supabase également, qui seront **accessibles par des fonctions edge** (elles peuvent être créées et supprimées depuis le web, mais il n'est pas possible d'accéder directement à leur valeur).
<div data-gb-custom-block data-tag="hint" data-style='success'>
Apprenez et pratiquez le Hacking AWS :<img src="../.gitbook/assets/image (1).png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/image (1).png" alt="" data-size="line">\
Apprenez et pratiquez le Hacking GCP : <img src="../.gitbook/assets/image (2).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/image (2).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Consultez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop)!
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Partagez des astuces de hacking en soumettant des PRs aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.
</details>
</div>