Supabase Security

Reading time: 9 minutes

tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

基本情報

彼らのランディングページによると：SupabaseはオープンソースのFirebaseの代替です。Postgresデータベース、認証、インスタントAPI、エッジ関数、リアルタイムサブスクリプション、ストレージ、ベクトル埋め込みを使用してプロジェクトを開始します。

サブドメイン

基本的にプロジェクトが作成されると、ユーザーはsupabase.coのサブドメインを受け取ります：jnanozjdybtpqgcwhdiz.supabase.co

データベース設定

tip

このデータには、https://supabase.com/dashboard/project/<project-id>/settings/databaseのようなリンクからアクセスできます

このデータベースは、いくつかのAWSリージョンにデプロイされ、接続するには次のように接続することができます：postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres（これはus-west-1で作成されました）。
パスワードはユーザーが以前に設定したパスワードです。

したがって、サブドメインは既知のものであり、ユーザー名として使用され、AWSリージョンは限られているため、パスワードをブルートフォースすることが可能かもしれません。

このセクションには、次のオプションも含まれています：

データベースパスワードのリセット
接続プーリングの設定
SSLの設定：プレーンテキスト接続を拒否（デフォルトでは有効）
ディスクサイズの設定
ネットワーク制限と禁止の適用

API設定

tip

このデータには、https://supabase.com/dashboard/project/<project-id>/settings/apiのようなリンクからアクセスできます

プロジェクト内のsupabase APIにアクセスするためのURLは次のようになります：https://jnanozjdybtpqgcwhdiz.supabase.co。

anon APIキー

また、anon APIキー（role: "anon"）を生成します：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk、これはアプリケーションが私たちの例で公開されたAPIキーに連絡するために使用する必要があります。

このAPIに連絡するためのAPI RESTはドキュメントで見つけることができますが、最も興味深いエンドポイントは次のとおりです：

サインアップ (/auth/v1/signup)

``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

<details>

<summary>ログイン (/auth/v1/token?grant_type=password)</summary>

POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}

</details>

クライアントが付与されたサブドメインを使用してsupabaseを利用していることを発見した場合（会社のサブドメインが彼らのsupabaseサブドメインにCNAMEを持つ可能性があります）、**supabase APIを使用して新しいアカウントを作成する**ことを試みることができます。

### secret / service_role APIキー

**`role: "service_role"`**を持つ秘密のAPIキーも生成されます。このAPIキーは、**Row Level Security**をバイパスできるため、秘密にしておく必要があります。

APIキーは次のようになります: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### JWT Secret

**JWT Secret**も生成され、アプリケーションが**カスタムJWTトークンを作成および署名**できるようになります。

## 認証

### サインアップ

<div class="mdbook-alerts mdbook-alerts-tip">
<p class="mdbook-alerts-title">
  <span class="mdbook-alerts-icon"></span>
  tip
</p>


**デフォルト**では、supabaseは**新しいユーザーがプロジェクトにアカウントを作成する**ことを許可します。

</div>


ただし、これらの新しいアカウントは、デフォルトで**メールアドレスを確認する必要があります**。メールアドレスを確認せずにログインできるようにするには、**「匿名サインインを許可」**を有効にすることができます。これにより、**予期しないデータ**にアクセスできる可能性があります（彼らは`public`および`authenticated`の役割を取得します）。\
これは非常に悪いアイデアです。なぜなら、supabaseはアクティブユーザーごとに料金を請求するため、人々がユーザーを作成してログインし、supabaseがそれに対して料金を請求する可能性があるからです：

<figure><img src="../images/image (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

### パスワードとセッション

最小パスワード長（デフォルト）、要件（デフォルトではなし）を指定し、漏洩したパスワードの使用を禁止することが可能です。\
デフォルトの要件は弱いため、**要件を改善することをお勧めします**。

- ユーザーセッション: ユーザーセッションの動作を構成することが可能です（タイムアウト、ユーザーごとに1セッション...）
- ボットおよび悪用保護: Captchaを有効にすることが可能です。

### SMTP設定

メールを送信するためのSMTPを設定することが可能です。

### 高度な設定

- アクセストークンの有効期限を設定（デフォルトは3600）
- 潜在的に侵害されたリフレッシュトークンを検出して取り消すように設定し、タイムアウトを設定
- MFA: ユーザーごとに同時に登録できるMFA要素の数を指定（デフォルトは10）
- 最大直接データベース接続: 認証に使用される接続の最大数（デフォルトは10）
- 最大リクエスト期間: 認証リクエストが持続できる最大時間（デフォルトは10秒）

## ストレージ

<div class="mdbook-alerts mdbook-alerts-tip">
<p class="mdbook-alerts-title">
  <span class="mdbook-alerts-icon"></span>
  tip
</p>


Supabaseは**ファイルを保存し**、URLを介してアクセス可能にします（S3バケットを使用します）。

</div>


- アップロードファイルサイズの制限を設定（デフォルトは50MB）
- S3接続は次のようなURLで提供されます: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
- `access key ID`（例: `a37d96544d82ba90057e0e06131d0a7b`）と`secret access key`（例: `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`）で構成される**S3アクセスキーを要求**することが可能です。

## エッジ関数

supabaseに**秘密を保存する**ことも可能で、これは**エッジ関数によってアクセス可能**です（ウェブから作成および削除できますが、その値に直接アクセスすることはできません）。

<div class="mdbook-alerts mdbook-alerts-tip">
<p class="mdbook-alerts-title">
  <span class="mdbook-alerts-icon"></span>
  tip
</p>


AWSハッキングを学び、実践する：<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
GCPハッキングを学び、実践する：<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
Azureハッキングを学び、実践する：<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">

<details>

<summary>HackTricksをサポートする</summary>

- [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
- **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローしてください。**
- **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してハッキングトリックを共有してください。**

</details>

</div>