一位安全研究员发现,大量使用Supabase平台的应用存在严重的安全隐患。通过简单的网页检查和curl请求,攻击者可以轻易获取到Supabase的anon key,进而访问整个数据库,包括用户表中的敏感信息如邮箱、密码哈希等。这种现象非常普遍,作者已多次发现此类问题,甚至包括种子阶段的创业公司。文章指出,问题根源在于Supabase缺乏足够的安全警告和默认安全设置,相比之下Pocketbase等平台有更好的默认安全配置。这一发现警示广大开发者在使用流行的BaaS服务时需特别关注安全配置,避免无意中暴露敏感数据。
原文链接:Hacker News





