Signup (/auth/v1/signup)
``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i
{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}
</details>
<details>
<summary>Login (/auth/v1/token?grant_type=password)</summary>
POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i
{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}
</details>
したがって、supabaseを使用しているクライアントを、付与されたサブドメインで発見した場合(会社のサブドメインがsupabaseのサブドメインにCNAMEを持っている可能性があります)、**supabase APIを使用してプラットフォームに新しいアカウントを作成**することを試みることができます。
### secret / service\_role api keys
**`role: "service_role"`**を持つシークレットAPIキーも生成されます。このAPIキーは**Row Level Security**をバイパスできるため、秘密にしておく必要があります。
APIキーは次のようになります: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### JWT Secret
アプリケーションが**カスタムJWTトークンを作成および署名**できるようにするために、**JWT Secret**も生成されます。
## Authentication
### Signups
<div data-gb-custom-block data-tag="hint" data-style='success'>
**デフォルト**では、supabaseは前述のAPIエンドポイントを使用して**新しいユーザーがプロジェクトにアカウントを作成**することを許可します。
</div>
しかし、これらの新しいアカウントはデフォルトで**メールアドレスを検証する必要があります**。**"Allow anonymous sign-ins"**を有効にすると、メールアドレスを検証せずにログインできるようになります。これにより**予期しないデータ**にアクセスできる可能性があります(彼らは`public`と`authenticated`のロールを取得します)。\
これは非常に悪いアイデアです。なぜなら、supabaseはアクティブユーザーごとに課金するため、人々がユーザーを作成してログインすると、supabaseはそれらに対して課金するからです。
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
### Passwords & sessions
最小パスワード長(デフォルト)、要件(デフォルトではなし)、漏洩したパスワードの使用を禁止することができます。\
**デフォルトの要件は弱いため、要件を改善することをお勧めします**。
* ユーザーセッション: ユーザーセッションの動作(タイムアウト、ユーザーごとの1セッションなど)を設定できます。
* ボットおよび悪用防止: Captchaを有効にすることができます。
### SMTP Settings
メールを送信するためのSMTPを設定することができます。
### Advanced Settings
* アクセストークンの有効期限を設定(デフォルトは3600秒)
* 潜在的に危険なリフレッシュトークンを検出して取り消す設定とタイムアウト
* MFA: ユーザーごとに一度に登録できるMFA要素の数を指定(デフォルトは10)
* Max Direct Database Connections: 認証に使用される最大接続数(デフォルトは10)
* Max Request Duration: 認証リクエストが持続する最大時間(デフォルトは10秒)
## Storage
<div data-gb-custom-block data-tag="hint" data-style='success'>
Supabaseは**ファイルを保存**し、URLを介してアクセス可能にすることを許可します(S3バケットを使用します)。
</div>
* アップロードファイルサイズの制限を設定(デフォルトは50MB)
* S3接続は次のようなURLで提供されます: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* `access key ID`(例: `a37d96544d82ba90057e0e06131d0a7b`)と`secret access key`(例: `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)で構成される**S3アクセスキーをリクエスト**することができます。
## Edge Functions
supabaseに**シークレットを保存**することも可能で、これらは**エッジ関数によってアクセス可能**です(ウェブから作成および削除できますが、直接値にアクセスすることはできません)。
<div data-gb-custom-block data-tag="hint" data-style='success'>
AWS Hackingを学び、練習する:<img src="/.gitbook/assets/image.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/image.png" alt="" data-size="line">\
GCP Hackingを学び、練習する: <img src="/.gitbook/assets/image (2).png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/image (2).png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>HackTricksをサポートする</summary>
* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェック!
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)をフォローしてください。
* **PRを提出してハッキングトリックを共有する** [**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリに。
</details>
</div>
