Italian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Supabase Security

Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team di HackTricks AWS)!

Altri modi per supportare HackTricks:

Informazioni di Base

Secondo la loro pagina principale: Supabase è un'alternativa open source a Firebase. Inizia il tuo progetto con un database Postgres, Autenticazione, API istantanee, Funzioni Edge, Sottoscrizioni in tempo reale, Archiviazione e Embedding di Vettori.

Sottodominio

Fondamentalmente quando viene creato un progetto, l'utente riceverà un sottodominio supabase.co come: jnanozjdybtpqgcwhdiz.supabase.co

Configurazione del Database

Questi dati possono essere accessibili da un link come https://supabase.com/dashboard/project/<project-id>/settings/database

Questo database sarà distribuito in una qualche regione AWS e, per connettersi ad esso, sarebbe possibile farlo collegandosi a: postgres://postgres.jnanozjdybtpqgcwhdiz:[LA TUA PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (questo è stato creato in us-west-1). La password è una password inserita dall'utente in precedenza.

Pertanto, poiché il sottodominio è noto e viene utilizzato come nome utente e le regioni AWS sono limitate, potrebbe essere possibile provare a forzare la password.

Questa sezione contiene anche opzioni per:

  • Reimpostare la password del database

  • Configurare il pooling delle connessioni

  • Configurare SSL: Rifiutare le connessioni in testo normale (di default sono abilitate)

  • Configurare la dimensione del disco

  • Applicare restrizioni di rete e divieti

Configurazione dell'API

Questi dati possono essere accessibili da un link come https://supabase.com/dashboard/project/<project-id>/settings/api

L'URL per accedere all'API di Supabase nel tuo progetto sarà simile a: https://jnanozjdybtpqgcwhdiz.supabase.co.

Chiavi API anonime

Genererà anche una chiave API anonima (ruolo: "anon"), come: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk che l'applicazione dovrà utilizzare per contattare la chiave API esposta nel nostro esempio in

È possibile trovare l'API REST per contattare questa API nella documentazione, ma i punti finali più interessanti sarebbero:

Registrazione (/auth/v1/signup)

``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

<details>

<summary>Accesso (/auth/v1/token?grant_type=password)</summary>

POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

Quindi, ogni volta che scopri un cliente che utilizza supabase con il sottodominio che gli è stato concesso (è possibile che un sottodominio dell'azienda abbia un CNAME sul loro sottodominio supabase), potresti provare a **creare un nuovo account nella piattaforma utilizzando l'API di supabase**.

### Chiavi API segrete / di ruolo di servizio

Verrà generata anche una chiave API segreta con **`role: "service_role"`**. Questa chiave API dovrebbe essere segreta perché sarà in grado di aggirare la **Sicurezza a Livello di Riga**.

La chiave API ha questo aspetto: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### Segreto JWT

Un **Segreto JWT** verrà generato in modo che l'applicazione possa **creare e firmare token JWT personalizzati**.

## Autenticazione

### Registrazioni

<div data-gb-custom-block data-tag="hint" data-style='success'>

Per **default** supabase permetterà ai **nuovi utenti di creare account** sul tuo progetto utilizzando i punti di accesso API precedentemente menzionati.

</div>

Tuttavia, questi nuovi account, per impostazione predefinita, **dovranno convalidare il proprio indirizzo email** per poter accedere all'account. È possibile abilitare **"Consenti accessi anonimi"** per consentire alle persone di accedere senza verificare il proprio indirizzo email. Ciò potrebbe concedere l'accesso a **dati inaspettati** (riceveranno i ruoli `public` e `authenticated`).\
Questa è una cattiva idea perché supabase addebita per utente attivo, quindi le persone potrebbero creare utenti e accedere e supabase addebiterà per quelli:

<figure><img src="../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>

### Password e sessioni

È possibile indicare la lunghezza minima della password (per impostazione predefinita), i requisiti (non per impostazione predefinita) e impedire l'uso di password trapelate.\
Si consiglia di **migliorare i requisiti poiché quelli predefiniti sono deboli**.

* Sessioni utente: È possibile configurare il funzionamento delle sessioni utente (timeout, 1 sessione per utente...)
* Protezione da bot e abusi: È possibile abilitare il Captcha.

### Impostazioni SMTP

È possibile impostare un SMTP per inviare email.

### Impostazioni avanzate

* Impostare il tempo di scadenza per i token di accesso (3600 per impostazione predefinita)
* Impostare per individuare e revocare i token di aggiornamento compromessi potenzialmente e il timeout
* MFA: Indicare quanti fattori MFA possono essere registrati contemporaneamente per utente (10 per impostazione predefinita)
* Connessioni dirette al database massime: Numero massimo di connessioni utilizzate per l'autenticazione (10 per impostazione predefinita)
* Durata massima della richiesta: Tempo massimo consentito per una richiesta di autenticazione (10s per impostazione predefinita)

## Archiviazione

<div data-gb-custom-block data-tag="hint" data-style='success'>

Supabase consente di **archiviare file** e renderli accessibili tramite un URL (utilizza i bucket S3).

</div>

* Impostare il limite di dimensione per il caricamento dei file (predefinito è 50MB)
* La connessione S3 è fornita con un URL come: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* È possibile **richiedere le chiavi di accesso S3** che sono formate da un `ID chiave di accesso` (ad es. `a37d96544d82ba90057e0e06131d0a7b`) e una `chiave di accesso segreta` (ad es. `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)

## Funzioni Edge

È possibile **archiviare segreti** anche in supabase che saranno **accessibili dalle funzioni Edge** (possono essere create ed eliminate dal web, ma non è possibile accedere direttamente al loro valore).

<details>

<summary><strong>Impara l'hacking AWS da zero a esperto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Altri modi per supportare HackTricks:

* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
PreviousOkta HardeningNextAnsible Tower / AWX / Automation controller Security

Last updated