Compartilhe seus truques de hacking enviando PRs para oHackTricks e HackTricks Cloud repositórios do github.
Informações Básicas
Conforme a página inicial: Supabase é uma alternativa de código aberto ao Firebase. Inicie seu projeto com um banco de dados Postgres, Autenticação, APIs instantâneas, Funções de Borda, Assinaturas em tempo real, Armazenamento e Incorporações de Vetores.
Subdomínio
Basicamente, quando um projeto é criado, o usuário receberá um subdomínio supabase.co como: jnanozjdybtpqgcwhdiz.supabase.co
Configuração do Banco de Dados
Esses dados podem ser acessados a partir de um link como https://supabase.com/dashboard/project/<project-id>/settings/database
Este banco de dados será implantado em alguma região da AWS e, para se conectar a ele, seria possível fazê-lo conectando-se a: postgres://postgres.jnanozjdybtpqgcwhdiz:[SUA-SENHA]@aws-0-us-west-1.pooler.supabase.com:5432/postgres (isso foi criado em us-west-1).
A senha é uma senha que o usuário inseriu anteriormente.
Portanto, como o subdomínio é conhecido e é usado como nome de usuário e as regiões da AWS são limitadas, pode ser possível tentar forçar a senha.
Esta seção também contém opções para:
Redefinir a senha do banco de dados
Configurar o agrupamento de conexões
Configurar SSL: Rejeitar conexões de texto simples (por padrão, elas estão habilitadas)
Configurar o tamanho do disco
Aplicar restrições e proibições de rede
Configuração da API
Esses dados podem ser acessados a partir de um link como https://supabase.com/dashboard/project/<project-id>/settings/api
A URL para acessar a API do Supabase em seu projeto será como: https://jnanozjdybtpqgcwhdiz.supabase.co.
chaves de API anônimas
Também será gerada uma chave de API anônima (role: "anon"), como: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk que a aplicação precisará usar para entrar em contato com a chave de API exposta em nosso exemplo em
É possível encontrar a API REST para contatar esta API na documentação, mas os endpoints mais interessantes seriam:
</details>
Portanto, sempre que você descobrir um cliente usando o supabase com o subdomínio que lhes foi concedido (é possível que um subdomínio da empresa tenha um CNAME sobre o subdomínio do supabase), você pode tentar **criar uma nova conta na plataforma usando a API do supabase**.
### Chaves de API secretas / de serviço
Uma chave de API secreta também será gerada com **`role: "service_role"`**. Esta chave de API deve ser mantida em segredo, pois ela poderá contornar a **Segurança por Nível de Linha**.
A chave de API se parece com isso: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### Segredo JWT
Um **Segredo JWT** também será gerado para que a aplicação possa **criar e assinar tokens JWT personalizados**.
## Autenticação
### Cadastros
<div data-gb-custom-block data-tag="hint" data-style='success'>
Por **padrão**, o supabase permitirá que **novos usuários criem contas** em seu projeto usando os endpoints da API mencionados anteriormente.
</div>
No entanto, essas novas contas, por padrão, **precisarão validar seu endereço de e-mail** para poder fazer login na conta. É possível habilitar **"Permitir logins anônimos"** para permitir que as pessoas façam login sem verificar seu endereço de e-mail. Isso poderia conceder acesso a **dados inesperados** (eles recebem os papéis `public` e `authenticated`).\
Isso é uma ideia muito ruim porque o supabase cobra por usuário ativo, então as pessoas poderiam criar usuários e fazer login, e o supabase cobraria por eles:
<figure><img src="../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
### Senhas e sessões
É possível indicar o comprimento mínimo da senha (por padrão), requisitos (não por padrão) e impedir o uso de senhas vazadas.\
É recomendável **melhorar os requisitos, pois os padrões são fracos**.
* Sessões do Usuário: É possível configurar como as sessões do usuário funcionam (tempos limite, 1 sessão por usuário...)
* Proteção contra Bots e Abusos: É possível habilitar o Captcha.
### Configurações SMTP
É possível configurar um SMTP para enviar e-mails.
### Configurações Avançadas
* Definir tempo de expiração para tokens de acesso (3600 por padrão)
* Definir para detectar e revogar tokens de atualização potencialmente comprometidos e tempo limite
* MFA: Indicar quantos fatores MFA podem ser inscritos de uma vez por usuário (10 por padrão)
* Máximo de Conexões Diretas ao Banco de Dados: Número máximo de conexões usadas para autenticação (10 por padrão)
* Duração Máxima da Solicitação: Tempo máximo permitido para uma solicitação de Autenticação durar (10s por padrão)
## Armazenamento
<div data-gb-custom-block data-tag="hint" data-style='success'>
O Supabase permite **armazenar arquivos** e torná-los acessíveis por meio de uma URL (ele usa buckets S3).
</div>
* Definir o limite de tamanho de arquivo para upload (o padrão é 50MB)
* A conexão S3 é fornecida com uma URL como: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* É possível **solicitar chaves de acesso S3** que são formadas por um `ID de chave de acesso` (por exemplo, `a37d96544d82ba90057e0e06131d0a7b`) e uma `chave de acesso secreta` (por exemplo, `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)
## Funções de Borda
É possível **armazenar segredos** no supabase também, que serão **acessíveis por funções de borda** (elas podem ser criadas e excluídas na web, mas não é possível acessar seu valor diretamente).