{“email”:“test@exmaple.com”,“password”:“SomeCOmplexPwd239.”}

</details>

<details>

<summary>Prijava (/auth/v1/token?grant_type=password)</summary>

POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: “Not-A.Brand”;v=“99”, “Chromium”;v=“124” Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: “macOS” Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i

{“email”:“test@exmaple.com”,“password”:“SomeCOmplexPwd239.”}

</details>

Dakle, kad god otkrijete klijenta koji koristi supabase sa poddomenom koji im je dodeljen (moguće je da poddomen kompanije ima CNAME koji pokazuje na njihov supabase poddomen), možete pokušati da **kreirate novi nalog na platformi koristeći supabase API**.

### secret / service_role API ključevi

Takođe će biti generisan tajni API ključ sa **`role: "service_role"`**. Ovaj API ključ treba da bude tajan zato što će moći da zaobiđe **Row Level Security**.

The API key looks like this: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`

### JWT Secret

Takođe će biti generisana **JWT tajna** tako da aplikacija može **kreirati i potpisivati prilagođene JWT tokene**.

## Autentifikacija

### Registracije

> [!TIP]
> Podrazumevano, supabase će dozvoliti **novim korisnicima da kreiraju naloge** na vašem projektu koristeći prethodno pomenute API endpoints.

Međutim, ovi novi nalozi, po defaultu, **će morati da potvrde svoju email adresu** da bi mogli da se prijave na nalog. Moguće je omogućiti opciju **"Allow anonymous sign-ins"** da bi ljudi mogli da se prijave bez verifikacije email adrese. Ovo može omogućiti pristup **neočekivanim podacima** (dobijaju uloge `public` i `authenticated`).\
Ovo je vrlo loša ideja jer supabase naplaćuje po aktivnom korisniku, pa bi ljudi mogli da kreiraju korisnike i prijavljuju se, i supabase će za to naplatiti:

<figure><img src="../images/image (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

#### Auth: Sprovođenje ograničenja registracije na serverskoj strani

Sakrivanje dugmeta za registraciju u frontend-u nije dovoljno. Ako **Auth server i dalje dozvoljava registracije**, napadač može direktno pozvati API koristeći javni `anon` ključ i kreirati proizvoljne korisnike.

Brz test (iz neautentifikovanog klijenta):
```bash
curl -X POST \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
-H "Content-Type: application/json" \
-d '{"email":"attacker@example.com","password":"Sup3rStr0ng!"}' \
https://<PROJECT_REF>.supabase.co/auth/v1/signup

Preporučene mere bezbednosti:

• Onemogućite email/password signups u Dashboard: Authentication → Providers → Email → Disable sign ups (invite-only), ili podesite ekvivalentnu GoTrue postavku.
• Proverite da API sada vraća 4xx na prethodni poziv i da nije kreiran novi korisnik.
• Ako se oslanjate na invites ili SSO, osigurajte da su svi ostali providers onemogućeni osim ako nisu eksplicitno potrebni.

RLS i Views: Write bypass via PostgREST

Korišćenje Postgres VIEW-a za „skrivanje“ osetljivih kolona i izlaganje preko PostgREST-a može promeniti način na koji se procenjuju privilegije. U PostgreSQL-u:

• Ordinary views izvršavaju se sa privilegijama vlasnika view-a po defaultu (definer semantics). U PG ≥15 možete se prebaciti na security_invoker.
• Row Level Security (RLS) se primenjuje na osnovne tabele. Vlasnici tabela zaobilaze RLS osim ako nije podešen FORCE ROW LEVEL SECURITY na tabeli.
• Updatable views mogu prihvatiti INSERT/UPDATE/DELETE koji se zatim primenjuju na osnovnu tabelu. Bez WITH CHECK OPTION, upisi koji ne odgovaraju predikatu view-a i dalje mogu uspeti.

Primećen obrazac rizika:

• View sa smanjenim brojem kolona je izložen preko Supabase REST i dodeljen anon/authenticated.
• PostgREST dozvoljava DML na updatable view-u, a operacija se procenjuje sa privilegijama vlasnika view-a, efektivno zaobilazeći predviđene RLS politike na osnovnoj tabeli.
• Rezultat: klijenti sa niskim privilegijama mogu masovno menjati redove (npr. profile bios/avatars) koje ne bi trebali moći da izmenjuju.

Ilustrativan upis preko view-a (pokušano sa javnog klijenta):

curl -X PATCH \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
-H "Content-Type: application/json" \
-H "Prefer: return=representation" \
-d '{"bio":"pwned","avatar_url":"https://i.example/pwn.png"}' \
"https://<PROJECT_REF>.supabase.co/rest/v1/users_view?id=eq.<victim_user_id>"

Kontrolna lista za ojačavanje za poglede i RLS:

• Preferirajte izlaganje osnovnih tabela sa eksplicitnim grantovima najmanjih privilegija i preciznim RLS politikama.
• Ako morate izložiti pogled:
• Učinite ga ne ažurirajućim (npr. uključivanjem izraza/joins) ili odbijte INSERT/UPDATE/DELETE na pogledu za sve nepouzdane role.
• Primorajte ALTER VIEW <v> SET (security_invoker = on) tako da se koriste privilegije pozivaoca umesto vlasnika.
• Na osnovnim tabelama koristite ALTER TABLE <t> FORCE ROW LEVEL SECURITY; tako da su čak i vlasnici podložni RLS.
• Ako dopuštate pisanje preko ažurirajućeg pogleda, dodajte WITH [LOCAL|CASCADED] CHECK OPTION i komplementarne RLS politike na osnovnim tabelama da biste osigurali da se mogu pisati/menjati samo dozvoljeni redovi.
• U Supabase-u, izbegavajte dodeljivanje bilo kakvih privilegija za pisanje anon/authenticated na poglede, osim ako niste verifikovali end-to-end ponašanje putem testova.

Savet za detekciju:

• Iz anon i test korisnika authenticated pokušajte sve CRUD operacije nad svakom izloženom tabelom/pogledom. Bilo koje uspešno pisanje gde ste očekivali odbijanje ukazuje na pogrešnu konfiguraciju.

OpenAPI-pokrenuto ispitivanje CRUD operacija iz anon/auth rola

PostgREST izlaže OpenAPI dokument koji možete koristiti za enumeraciju svih REST resursa, a zatim automatski ispitati dozvoljene operacije iz rola sa niskim privilegijama.

Preuzmite OpenAPI (radi sa javnim anon ključem):

curl -s https://<PROJECT_REF>.supabase.co/rest/v1/ \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
-H "Accept: application/openapi+json" | jq '.paths | keys[]'

Probe pattern (primeri):

• Pročitaj jedan red (očekuje se 401/403/200 u zavisnosti od RLS):

curl -s "https://<PROJECT_REF>.supabase.co/rest/v1/<table>?select=*&limit=1" \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>"

• Proverite da li je UPDATE blokiran (koristite nepostojeći filter da izbegnete menjanje podataka tokom testiranja):

curl -i -X PATCH \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
-H "Content-Type: application/json" \
-H "Prefer: return=minimal" \
-d '{"__probe":true}' \
"https://<PROJECT_REF>.supabase.co/rest/v1/<table_or_view>?id=eq.00000000-0000-0000-0000-000000000000"

• Test INSERT je blokiran:

curl -i -X POST \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
-H "Content-Type: application/json" \
-H "Prefer: return=minimal" \
-d '{"__probe":true}' \
"https://<PROJECT_REF>.supabase.co/rest/v1/<table_or_view>"

• Test DELETE je blokiran:

curl -i -X DELETE \
-H "apikey: <SUPABASE_ANON_KEY>" \
-H "Authorization: Bearer <SUPABASE_ANON_KEY>" \
"https://<PROJECT_REF>.supabase.co/rest/v1/<table_or_view>?id=eq.00000000-0000-0000-0000-000000000000"

Preporuke:

• Automatizujte prethodne probe za oba anon i minimalno authenticated korisnika i integrišite ih u CI kako biste uhvatili regresije.
• Smatrajte svaku izloženu table/view/function kao primarnu površinu. Ne pretpostavljajte da view „nasleđuje“ isti RLS post kao svoje osnovne tabele.

Lozinke & sesije

Moguće je odrediti minimalnu dužinu lozinke (po defaultu), zahteve (nema ih po defaultu) i zabraniti korišćenje leaked lozinki.
Preporučuje se da poboljšate zahteve jer su podrazumevani slabi.

• User Sessions: Moguće je konfigurisati kako korisničke sesije funkcionišu (timeouti, 1 sesija po korisniku…)
• Bot and Abuse Protection: Moguće je omogućiti Captcha.

SMTP Settings

Moguće je podesiti SMTP za slanje emailova.

Advanced Settings

• Podesite vreme isteka access tokens (3600 po defaultu)
• Podesite detekciju i opoziv potencijalno kompromitovanih refresh tokena i timeout
• MFA: Naznačite koliko MFA faktora može biti registrovano odjednom po korisniku (10 po defaultu)
• Max Direct Database Connections: Maksimalan broj konekcija korišćenih za auth (10 po defaultu)
• Max Request Duration: Maksimalno dozvoljeno trajanje Auth zahteva (10s po defaultu)

Storage

Tip

Supabase allows to store files and make them accesible over a URL (it uses S3 buckets).

• Podesite ograničenje veličine uploadovanih fajlova (podrazumevano 50MB)
• The S3 connection is given with a URL like: https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3
• Moguće je request S3 access key koji se sastoje od access key ID (npr. a37d96544d82ba90057e0e06131d0a7b) i secret access key (npr. 58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628)

Edge Functions

Moguće je takođe store secrets u supabase koji će biti accessible by edge functions (mogu se kreirati i obrisati iz web interfejsa, ali nije moguće direktno pristupiti njihovim vrednostima).

References

• Building Hacker Communities: Bug Bounty Village, getDisclosed’s Supabase Misconfig, and the LHE Squad (Ep. 133) – YouTube
• Critical Thinking Podcast – Episode 133 page
• Supabase: Row Level Security (RLS)
• PostgreSQL: Row Security Policies
• PostgreSQL: CREATE VIEW (security_invoker, check option)
• PostgREST: OpenAPI documentation

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.