Supabase Security

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Podstawowe informacje

Zgodnie z ich stroną docelową: Supabase to otwartoźródłowa alternatywa dla Firebase. Rozpocznij swój projekt z bazą danych Postgres, uwierzytelnianiem, natychmiastowymi API, funkcjami Edge, subskrypcjami w czasie rzeczywistym, przechowywaniem i osadzeniami wektorowymi.

Subdomena

Zasadniczo, gdy projekt jest tworzony, użytkownik otrzymuje subdomenę supabase.co, taką jak: jnanozjdybtpqgcwhdiz.supabase.co

Konfiguracja bazy danych

Te dane można uzyskać z linku takiego jak https://supabase.com/dashboard/project/<project-id>/settings/database

Ta baza danych będzie wdrożona w jakimś regionie AWS, a aby się z nią połączyć, można to zrobić, łącząc się z: postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (zostało to utworzone w us-west-1). Hasło to hasło, które użytkownik wprowadził wcześniej.

Dlatego, ponieważ subdomena jest znana i jest używana jako nazwa użytkownika, a regiony AWS są ograniczone, może być możliwe spróbowanie brute force hasła.

Ta sekcja zawiera również opcje do:

Zresetowania hasła bazy danych
Skonfigurowania puli połączeń
Skonfigurowania SSL: Odrzuć połączenia w formacie tekstowym (domyślnie są włączone)
Skonfigurowania rozmiaru dysku
Zastosowania ograniczeń i zakazów sieciowych

Konfiguracja API

Te dane można uzyskać z linku takiego jak https://supabase.com/dashboard/project/<project-id>/settings/api

URL do uzyskania dostępu do API supabase w Twoim projekcie będzie wyglądał tak: https://jnanozjdybtpqgcwhdiz.supabase.co.

anon klucze API

Wygeneruje również anon klucz API (role: "anon"), taki jak: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk, który aplikacja będzie musiała użyć, aby skontaktować się z kluczem API ujawnionym w naszym przykładzie w

Można znaleźć API REST do kontaktu z tym API w dokumentacji, ale najbardziej interesujące punkty końcowe to:

Signup (/auth/v1/signup)

``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

<details>

<summary>Logowanie (/auth/v1/token?grant_type=password)</summary>

POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

Więc, gdy odkryjesz klienta używającego supabase z subdomeną, którą mu przyznano (możliwe, że subdomena firmy ma CNAME nad ich subdomeną supabase), możesz spróbować **utworzyć nowe konto na platformie za pomocą API supabase**.

### klucze API secret / service\_role

Klucz API secret również zostanie wygenerowany z **`role: "service_role"`**. Ten klucz API powinien być tajny, ponieważ będzie mógł obejść **Row Level Security**.

Klucz API wygląda tak: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### JWT Secret

**JWT Secret** również zostanie wygenerowany, aby aplikacja mogła **tworzyć i podpisywać niestandardowe tokeny JWT**.

## Uwierzytelnianie

### Rejestracje

<div data-gb-custom-block data-tag="hint" data-style='success'>

Domyślnie supabase pozwoli **nowym użytkownikom na tworzenie kont** w Twoim projekcie, korzystając z wcześniej wspomnianych punktów końcowych API.

</div>

Jednak te nowe konta, domyślnie, **będą musiały zweryfikować swój adres e-mail**, aby móc zalogować się na konto. Możliwe jest włączenie **"Zezwól na anonimowe logowanie"**, aby umożliwić ludziom logowanie się bez weryfikacji adresu e-mail. Może to dać dostęp do **nieoczekiwanych danych** (otrzymują role `public` i `authenticated`).\
To bardzo zły pomysł, ponieważ supabase pobiera opłaty za aktywnego użytkownika, więc ludzie mogą tworzyć użytkowników i logować się, a supabase będzie pobierać opłaty za tych:

<figure><img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

### Hasła i sesje

Możliwe jest określenie minimalnej długości hasła (domyślnie), wymagań (brak domyślnie) oraz zabronienie używania wyciekłych haseł.\
Zaleca się **poprawienie wymagań, ponieważ domyślne są słabe**.

* Sesje użytkowników: Możliwe jest skonfigurowanie, jak działają sesje użytkowników (czasy oczekiwania, 1 sesja na użytkownika...)
* Ochrona przed botami i nadużyciami: Możliwe jest włączenie Captcha.

### Ustawienia SMTP

Możliwe jest ustawienie SMTP do wysyłania e-maili.

### Ustawienia zaawansowane

* Ustaw czas wygaśnięcia dla tokenów dostępu (3600 domyślnie)
* Ustaw wykrywanie i unieważnianie potencjalnie skompromitowanych tokenów odświeżania oraz czas oczekiwania
* MFA: Wskaź, ile czynników MFA może być zarejestrowanych jednocześnie na użytkownika (10 domyślnie)
* Maksymalna liczba bezpośrednich połączeń z bazą danych: Maksymalna liczba połączeń używanych do uwierzytelniania (10 domyślnie)
* Maksymalny czas trwania żądania: Maksymalny czas, przez jaki może trwać żądanie uwierzytelnienia (10s domyślnie)

## Przechowywanie

<div data-gb-custom-block data-tag="hint" data-style='success'>

Supabase pozwala **przechowywać pliki** i udostępniać je za pośrednictwem URL (używa koszyków S3).

</div>

* Ustaw limit rozmiaru pliku do przesłania (domyślnie 50MB)
* Połączenie S3 jest podawane za pomocą URL, takiego jak: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* Możliwe jest **zażądanie klucza dostępu S3**, który składa się z `access key ID` (np. `a37d96544d82ba90057e0e06131d0a7b`) i `secret access key` (np. `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)

## Funkcje Edge

Możliwe jest również **przechowywanie tajemnic** w supabase, które będą **dostępne przez funkcje edge** (mogą być tworzone i usuwane z sieci, ale nie można uzyskać dostępu do ich wartości bezpośrednio).

<div data-gb-custom-block data-tag="hint" data-style='success'>

Ucz się i ćwicz Hacking AWS:<img src="../.gitbook/assets/image (1) (1).png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/image (1) (1).png" alt="" data-size="line">\
Ucz się i ćwicz Hacking GCP: <img src="../.gitbook/assets/image (2).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/image (2).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Wsparcie HackTricks</summary>

* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się sztuczkami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>

</div>

PreviousOkta Hardening NextAnsible Tower / AWX / Automation controller Security

Last updated 3 days ago

Podstawowe informacje

Subdomena

Zasadniczo, gdy projekt jest tworzony, użytkownik otrzymuje subdomenę supabase.co, taką jak: jnanozjdybtpqgcwhdiz.supabase.co

Konfiguracja bazy danych

Te dane można uzyskać z linku takiego jak https://supabase.com/dashboard/project/<project-id>/settings/database

Dlatego, ponieważ subdomena jest znana i jest używana jako nazwa użytkownika, a regiony AWS są ograniczone, może być możliwe spróbowanie brute force hasła.

Ta sekcja zawiera również opcje do:

Zresetowania hasła bazy danych

Skonfigurowania puli połączeń

Skonfigurowania SSL: Odrzuć połączenia w formacie tekstowym (domyślnie są włączone)

Skonfigurowania rozmiaru dysku

Zastosowania ograniczeń i zakazów sieciowych

Konfiguracja API

Te dane można uzyskać z linku takiego jak https://supabase.com/dashboard/project/<project-id>/settings/api

URL do uzyskania dostępu do API supabase w Twoim projekcie będzie wyglądał tak: https://jnanozjdybtpqgcwhdiz.supabase.co.

anon klucze API

Wygeneruje również anon klucz API (role: "anon"), taki jak:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk

, który aplikacja będzie musiała użyć, aby skontaktować się z kluczem API ujawnionym w naszym przykładzie w

Można znaleźć API REST do kontaktu z tym API w dokumentacji, ale najbardziej interesujące punkty końcowe to:

Signup (/auth/v1/signup)

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

<details>

<summary>Logowanie (/auth/v1/token?grant_type=password)</summary>

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

Więc, gdy odkryjesz klienta używającego supabase z subdomeną, którą mu przyznano (możliwe, że subdomena firmy ma CNAME nad ich subdomeną supabase), możesz spróbować **utworzyć nowe konto na platformie za pomocą API supabase**.

### klucze API secret / service\_role

Klucz API secret również zostanie wygenerowany z **`role: "service_role"`**. Ten klucz API powinien być tajny, ponieważ będzie mógł obejść **Row Level Security**.

Klucz API wygląda tak: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### JWT Secret

**JWT Secret** również zostanie wygenerowany, aby aplikacja mogła **tworzyć i podpisywać niestandardowe tokeny JWT**.

## Uwierzytelnianie

### Rejestracje

<div data-gb-custom-block data-tag="hint" data-style='success'>

Domyślnie supabase pozwoli **nowym użytkownikom na tworzenie kont** w Twoim projekcie, korzystając z wcześniej wspomnianych punktów końcowych API.

</div>

Jednak te nowe konta, domyślnie, **będą musiały zweryfikować swój adres e-mail**, aby móc zalogować się na konto. Możliwe jest włączenie **"Zezwól na anonimowe logowanie"**, aby umożliwić ludziom logowanie się bez weryfikacji adresu e-mail. Może to dać dostęp do **nieoczekiwanych danych** (otrzymują role `public` i `authenticated`).\
To bardzo zły pomysł, ponieważ supabase pobiera opłaty za aktywnego użytkownika, więc ludzie mogą tworzyć użytkowników i logować się, a supabase będzie pobierać opłaty za tych:

<figure><img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

### Hasła i sesje

Możliwe jest określenie minimalnej długości hasła (domyślnie), wymagań (brak domyślnie) oraz zabronienie używania wyciekłych haseł.\
Zaleca się **poprawienie wymagań, ponieważ domyślne są słabe**.

* Sesje użytkowników: Możliwe jest skonfigurowanie, jak działają sesje użytkowników (czasy oczekiwania, 1 sesja na użytkownika...)
* Ochrona przed botami i nadużyciami: Możliwe jest włączenie Captcha.

### Ustawienia SMTP

Możliwe jest ustawienie SMTP do wysyłania e-maili.

### Ustawienia zaawansowane

* Ustaw czas wygaśnięcia dla tokenów dostępu (3600 domyślnie)
* Ustaw wykrywanie i unieważnianie potencjalnie skompromitowanych tokenów odświeżania oraz czas oczekiwania
* MFA: Wskaź, ile czynników MFA może być zarejestrowanych jednocześnie na użytkownika (10 domyślnie)
* Maksymalna liczba bezpośrednich połączeń z bazą danych: Maksymalna liczba połączeń używanych do uwierzytelniania (10 domyślnie)
* Maksymalny czas trwania żądania: Maksymalny czas, przez jaki może trwać żądanie uwierzytelnienia (10s domyślnie)

## Przechowywanie

<div data-gb-custom-block data-tag="hint" data-style='success'>

Supabase pozwala **przechowywać pliki** i udostępniać je za pośrednictwem URL (używa koszyków S3).

</div>

* Ustaw limit rozmiaru pliku do przesłania (domyślnie 50MB)
* Połączenie S3 jest podawane za pomocą URL, takiego jak: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* Możliwe jest **zażądanie klucza dostępu S3**, który składa się z `access key ID` (np. `a37d96544d82ba90057e0e06131d0a7b`) i `secret access key` (np. `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)

## Funkcje Edge

Możliwe jest również **przechowywanie tajemnic** w supabase, które będą **dostępne przez funkcje edge** (mogą być tworzone i usuwane z sieci, ale nie można uzyskać dostępu do ich wartości bezpośrednio).

<div data-gb-custom-block data-tag="hint" data-style='success'>

Ucz się i ćwicz Hacking AWS:<img src="../.gitbook/assets/image (1) (1).png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/image (1) (1).png" alt="" data-size="line">\
Ucz się i ćwicz Hacking GCP: <img src="../.gitbook/assets/image (2).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/image (2).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Wsparcie HackTricks</summary>

* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się sztuczkami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>

</div>