חשיפת מסדי נתונים באתרים שנבנו עם vibe coding
-
בהמשך לאשכול שפורסם כאן אתמול...
בחודשים האחרונים יצא לי לבדוק עשרות אתרים שנבנו בפלטפורמות vibe coding כמו base44 וlovable ומסתבר שבחלק גדול מהם טבלאות מסד הנתונים פתוחות לחלוטין לקריאה ציבורית ללא כל הגנה. המשמעות היא שכל מי שיודע לשלוח בקשת API יכול לשלוף שמות/כתובות מייל/מספרי טלפון וכל מידע אחר שנשמר בטבלאות ללא הרשאה.הפלטפורמות האלה מאפשרות לבנות אתרים יפים במהירות אבל הגדרות אבטחה כמו RLS לא מופעלות כברירת מחדל או שהמשתמשים פשוט לא מודעים לקיומן או לא מקנפגים אותן נכון.
כדי להקל עליי את עבודת הסריקה ביקשתי מקלוד שיכתוב לי סקריפטים, מצרף אותם כאן:
https://github.com/shraga100/vibe-table-audit- סקריפט מותאם לאתרי base44 (להרצה מהקונסול של הדפדפן)
- סקריפט להרצה עם tampermonkey שמותאם לאתרי lovable (ואולי גם לאתרים אחרים שמשתמשים בsuperbase)
אמנם יש כאן סיכון משמעותי לשימוש לרעה. אבל לענ"ד הפוטנציאל החיובי גדול יותר.
מי שמפעיל אתר חי עם נתוני משתמשים אמיתיים מומלץ מאוד להקדיש כמה דקות ולוודא שההגדרות הרשאות ישויות ובקרת גישה תקינות.
האחריות על המידע של המשתמשים היא שלכם!!!
נתקלתם באתר שהטבלאות שלו פתוחות לכל דכפין? יידעו את בעל האתר.
-
בהמשך לאשכול שפורסם כאן אתמול...
בחודשים האחרונים יצא לי לבדוק עשרות אתרים שנבנו בפלטפורמות vibe coding כמו base44 וlovable ומסתבר שבחלק גדול מהם טבלאות מסד הנתונים פתוחות לחלוטין לקריאה ציבורית ללא כל הגנה. המשמעות היא שכל מי שיודע לשלוח בקשת API יכול לשלוף שמות/כתובות מייל/מספרי טלפון וכל מידע אחר שנשמר בטבלאות ללא הרשאה.הפלטפורמות האלה מאפשרות לבנות אתרים יפים במהירות אבל הגדרות אבטחה כמו RLS לא מופעלות כברירת מחדל או שהמשתמשים פשוט לא מודעים לקיומן או לא מקנפגים אותן נכון.
כדי להקל עליי את עבודת הסריקה ביקשתי מקלוד שיכתוב לי סקריפטים, מצרף אותם כאן:
https://github.com/shraga100/vibe-table-audit- סקריפט מותאם לאתרי base44 (להרצה מהקונסול של הדפדפן)
- סקריפט להרצה עם tampermonkey שמותאם לאתרי lovable (ואולי גם לאתרים אחרים שמשתמשים בsuperbase)
אמנם יש כאן סיכון משמעותי לשימוש לרעה. אבל לענ"ד הפוטנציאל החיובי גדול יותר.
מי שמפעיל אתר חי עם נתוני משתמשים אמיתיים מומלץ מאוד להקדיש כמה דקות ולוודא שההגדרות הרשאות ישויות ובקרת גישה תקינות.
האחריות על המידע של המשתמשים היא שלכם!!!
נתקלתם באתר שהטבלאות שלו פתוחות לכל דכפין? יידעו את בעל האתר.
-
@shraga למה צריך להיות עם חשבון מחובר כדי שזה ינסה? פגשתי כמה וכמה אתרים שבהם המסד היה חשוף גם בלי להיות מחובר (אם כי אולי ספציפית ב base44 זה לא אפשרי)
@אף-אחד-3 כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
@shraga למה צריך להיות עם חשבון מחובר כדי שזה ינסה? פגשתי כמה וכמה אתרים שבהם המסד היה חשוף גם בלי להיות מחובר (אם כי אולי ספציפית ב base44 זה לא אפשרי)
- כמו שכתבת בבייס צריך להיות משתמש מחובר בשביל לגשת לרוב הטבלאות.
- באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.
-
@אף-אחד-3 כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
@shraga למה צריך להיות עם חשבון מחובר כדי שזה ינסה? פגשתי כמה וכמה אתרים שבהם המסד היה חשוף גם בלי להיות מחובר (אם כי אולי ספציפית ב base44 זה לא אפשרי)
- כמו שכתבת בבייס צריך להיות משתמש מחובר בשביל לגשת לרוב הטבלאות.
- באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.
@shraga כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.
ולכן יותר חכם לשלב בין המצבים עם הודעה על היתרון שבחיבור
שחזור מידע מקצועי במחירים נגישים עם אחריות ושירות מלא anytechfix@gmail.com
-
@shraga כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.
ולכן יותר חכם לשלב בין המצבים עם הודעה על היתרון שבחיבור
@אף-אחד-3 כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
@shraga כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:
באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.
ולכן יותר חכם לשלב בין המצבים עם הודעה על היתרון שבחיבור
הפרויקט פתוח לPRים...
-
לובאבל (Lovable) הבינו את הבעיה הכי גדולה של אפליקציות שנכתבות על ידי בינה מלאכותית. הכל נבנה מהר אבל לרוב גם מגיע עם חורי אבטחה.
הרבה פעמים אנשים בונים מוצר בשניות ומשאירים בטעות את מסד הנתונים שלהם פתוח לכל העולם. כדי לפתור את זה הם השיקו עכשיו מערכת אבטחה שרצה אוטומטית על כל פרויקט רגע לפני שאתם מפרסמים אותו לאוויר.
יש שם ארבעה סורקים שונים שעובדים במקביל. הם בודקים את הרשאות הגישה לדאטה בייס קוראים את הקוד כדי לחפש פגיעויות ומוודאים שחבילות הקוד החיצוניות שהותקנו לא מכילות איומים מוכרים.
כדי לא לתקוע לכם את העבודה הבדיקות האלה רצות רק על החלקים בקוד שאשכרה השתנו מאז העדכון האחרון.
המערכת בנויה בצורה מודולרית כדי שהם יוכלו לדחוף פנימה עוד סורקים ברגע שיתגלו פרצות חדשות בעתיד.
(DT_Spotlight)
