Secondo la loro pagina di atterraggio: Supabase è un'alternativa open source a Firebase. Inizia il tuo progetto con un database Postgres, Autenticazione, API istantanee, Funzioni Edge, abbonamenti in tempo reale, Archiviazione e Embedding vettoriali.
Sottodominio
Fondamentalmente, quando viene creato un progetto, l'utente riceverà un sottodominio supabase.co come: jnanozjdybtpqgcwhdiz.supabase.co
Configurazione del database
Questi dati possono essere accessibili da un link come https://supabase.com/dashboard/project/<project-id>/settings/database
Questo database sarà distribuito in qualche regione AWS, e per connettersi ad esso sarà possibile farlo collegandosi a: postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (questo è stato creato in us-west-1).
La password è una password che l'utente ha inserito in precedenza.
Pertanto, poiché il sottodominio è noto ed è utilizzato come nome utente e le regioni AWS sono limitate, potrebbe essere possibile provare a forzare la password.
Questa sezione contiene anche opzioni per:
Reimpostare la password del database
Configurare il pooling delle connessioni
Configurare SSL: Rifiuta le connessioni in testo semplice (per impostazione predefinita sono abilitate)
Configurare la dimensione del disco
Applicare restrizioni e divieti di rete
Configurazione API
Questi dati possono essere accessibili da un link come https://supabase.com/dashboard/project/<project-id>/settings/api
L'URL per accedere all'API supabase nel tuo progetto sarà simile a: https://jnanozjdybtpqgcwhdiz.supabase.co.
chiavi API anonime
Genererà anche una chiave API anonima (role: "anon"), come: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk che l'applicazione dovrà utilizzare per contattare la chiave API esposta nel nostro esempio in
È possibile trovare l'API REST per contattare questa API nella documentazione, ma gli endpoint più interessanti sarebbero:
</details>
Quindi, ogni volta che scopri un cliente che utilizza supabase con il sottodominio che gli è stato assegnato (è possibile che un sottodominio dell'azienda abbia un CNAME sul loro sottodominio supabase), potresti provare a **creare un nuovo account nella piattaforma utilizzando l'API di supabase**.
### chiavi api segrete / service\_role
Una chiave API segreta verrà generata anche con **`role: "service_role"`**. Questa chiave API dovrebbe essere segreta perché sarà in grado di bypassare **Row Level Security**.
La chiave API appare così: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### Segreto JWT
Un **segreto JWT** verrà generato anche affinché l'applicazione possa **creare e firmare token JWT personalizzati**.
## Autenticazione
### Registrazioni
<div data-gb-custom-block data-tag="hint" data-style='success'>
Per **default**, supabase consentirà **ai nuovi utenti di creare account** nel tuo progetto utilizzando gli endpoint API precedentemente menzionati.
</div>
Tuttavia, questi nuovi account, per impostazione predefinita, **dovranno convalidare il loro indirizzo email** per poter accedere all'account. È possibile abilitare **"Consenti accessi anonimi"** per consentire alle persone di accedere senza verificare il loro indirizzo email. Questo potrebbe concedere accesso a **dati inaspettati** (ottengono i ruoli `public` e `authenticated`).\
Questa è un'idea molto cattiva perché supabase addebita per ogni utente attivo, quindi le persone potrebbero creare utenti e accedere e supabase addebiterà per questi:
<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
### Password e sessioni
È possibile indicare la lunghezza minima della password (per impostazione predefinita), i requisiti (nessuno per impostazione predefinita) e vietare l'uso di password compromesse.\
Si consiglia di **migliorare i requisiti poiché quelli predefiniti sono deboli**.
* Sessioni utente: È possibile configurare come funzionano le sessioni utente (timeout, 1 sessione per utente...)
* Protezione da bot e abusi: È possibile abilitare Captcha.
### Impostazioni SMTP
È possibile impostare un SMTP per inviare email.
### Impostazioni avanzate
* Imposta il tempo di scadenza per i token di accesso (3600 per impostazione predefinita)
* Imposta per rilevare e revocare i token di aggiornamento potenzialmente compromessi e timeout
* MFA: Indica quanti fattori MFA possono essere registrati contemporaneamente per utente (10 per impostazione predefinita)
* Max Connessioni Dirette al Database: Numero massimo di connessioni utilizzate per l'autenticazione (10 per impostazione predefinita)
* Massima Durata della Richiesta: Tempo massimo consentito per una richiesta di autenticazione (10s per impostazione predefinita)
## Archiviazione
<div data-gb-custom-block data-tag="hint" data-style='success'>
Supabase consente **di archiviare file** e renderli accessibili tramite un URL (utilizza bucket S3).
</div>
* Imposta il limite di dimensione del file da caricare (il predefinito è 50MB)
* La connessione S3 è fornita con un URL come: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* È possibile **richiedere una chiave di accesso S3** che è composta da un `access key ID` (ad es. `a37d96544d82ba90057e0e06131d0a7b`) e una `secret access key` (ad es. `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)
## Funzioni Edge
È possibile **archiviare segreti** in supabase che saranno **accessibili dalle funzioni edge** (possono essere create e eliminate dal web, ma non è possibile accedere direttamente al loro valore).
<div data-gb-custom-block data-tag="hint" data-style='success'>
Impara e pratica il Hacking AWS:<img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt="" data-size="line">\
Impara e pratica il Hacking GCP: <img src="../.gitbook/assets/image (2) (1).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/image (2) (1).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Supporta HackTricks</summary>
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repository github.
</details>
</div>