De acordo com sua página de destino: Supabase é uma alternativa de código aberto ao Firebase. Comece seu projeto com um banco de dados Postgres, Autenticação, APIs instantâneas, Funções Edge, assinaturas em tempo real, Armazenamento e Embeddings vetoriais.
Subdomínio
Basicamente, quando um projeto é criado, o usuário receberá um subdomínio supabase.co como: jnanozjdybtpqgcwhdiz.supabase.co
Configuração do banco de dados
Esses dados podem ser acessados a partir de um link como https://supabase.com/dashboard/project/<project-id>/settings/database
Este banco de dados será implantado em alguma região da AWS, e para se conectar a ele, seria possível fazer isso conectando-se a: postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (isso foi criado em us-west-1).
A senha é uma senha que o usuário colocou anteriormente.
Portanto, como o subdomínio é conhecido e é usado como nome de usuário e as regiões da AWS são limitadas, pode ser possível tentar forçar a senha.
Esta seção também contém opções para:
Redefinir a senha do banco de dados
Configurar o pool de conexões
Configurar SSL: Rejeitar conexões em texto simples (por padrão, estão habilitadas)
Configurar o tamanho do disco
Aplicar restrições e proibições de rede
Configuração da API
Esses dados podem ser acessados a partir de um link como https://supabase.com/dashboard/project/<project-id>/settings/api
A URL para acessar a API supabase em seu projeto será como: https://jnanozjdybtpqgcwhdiz.supabase.co.
chaves da API anon
Ele também gerará uma chave da API anon (role: "anon"), como: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk que a aplicação precisará usar para contatar a chave da API exposta em nosso exemplo em
É possível encontrar a API REST para contatar esta API na docs, mas os endpoints mais interessantes seriam:
</details>
Então, sempre que você descobrir um cliente usando supabase com o subdomínio que lhe foi concedido (é possível que um subdomínio da empresa tenha um CNAME sobre seu subdomínio supabase), você pode tentar **criar uma nova conta na plataforma usando a API supabase**.
### chaves de api secret / service\_role
Uma chave de API secreta também será gerada com **`role: "service_role"`**. Esta chave de API deve ser secreta porque será capaz de contornar **Row Level Security**.
A chave de API se parece com isso: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### JWT Secret
Um **JWT Secret** também será gerado para que a aplicação possa **criar e assinar tokens JWT personalizados**.
## Autenticação
### Inscrições
<div data-gb-custom-block data-tag="hint" data-style='success'>
Por **padrão**, o supabase permitirá que **novos usuários criem contas** em seu projeto usando os endpoints de API mencionados anteriormente.
</div>
No entanto, essas novas contas, por padrão, **precisarão validar seu endereço de e-mail** para poder fazer login na conta. É possível habilitar **"Permitir logins anônimos"** para permitir que as pessoas façam login sem verificar seu endereço de e-mail. Isso pode conceder acesso a **dados inesperados** (eles recebem os papéis `public` e `authenticated`).\
Isso é uma ideia muito ruim porque o supabase cobra por usuário ativo, então as pessoas poderiam criar usuários e fazer login e o supabase cobrará por esses:
<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
### Senhas e sessões
É possível indicar o comprimento mínimo da senha (por padrão), requisitos (nenhum por padrão) e proibir o uso de senhas vazadas.\
É recomendado **melhorar os requisitos, pois os padrões são fracos**.
* Sessões de Usuário: É possível configurar como as sessões de usuário funcionam (timeouts, 1 sessão por usuário...)
* Proteção contra Bots e Abusos: É possível habilitar Captcha.
### Configurações SMTP
É possível definir um SMTP para enviar e-mails.
### Configurações Avançadas
* Definir tempo de expiração para tokens de acesso (3600 por padrão)
* Definir para detectar e revogar tokens de atualização potencialmente comprometidos e timeout
* MFA: Indicar quantos fatores MFA podem ser registrados de uma vez por usuário (10 por padrão)
* Máximo de Conexões Diretas ao Banco de Dados: Número máximo de conexões usadas para autenticação (10 por padrão)
* Duração Máxima da Solicitação: Tempo máximo permitido para uma solicitação de autenticação durar (10s por padrão)
## Armazenamento
<div data-gb-custom-block data-tag="hint" data-style='success'>
O Supabase permite **armazenar arquivos** e torná-los acessíveis por meio de uma URL (usa buckets S3).
</div>
* Definir o limite de tamanho do arquivo de upload (o padrão é 50MB)
* A conexão S3 é dada com uma URL como: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* É possível **solicitar uma chave de acesso S3** que é formada por um `access key ID` (por exemplo, `a37d96544d82ba90057e0e06131d0a7b`) e uma `secret access key` (por exemplo, `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)
## Funções de Edge
É possível **armazenar segredos** no supabase também, que serão **acessíveis por funções de edge** (podem ser criadas e excluídas pela web, mas não é possível acessar seu valor diretamente).
<div data-gb-custom-block data-tag="hint" data-style='success'>
Aprenda e pratique Hacking AWS:<img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/image (1) (1) (1) (1).png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="../.gitbook/assets/image (2) (1).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/image (2) (1).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
</div>