חשיפת מסדי נתונים באתרים שנבנו עם vibe coding
-
בהמשך לאשכול שפורסם כאן אתמול...
בחודשים האחרונים יצא לי לבדוק עשרות אתרים שנבנו בפלטפורמות vibe coding כמו base44 וlovable ומסתבר שבחלק גדול מהם טבלאות מסד הנתונים פתוחות לחלוטין לקריאה ציבורית ללא כל הגנה. המשמעות היא שכל מי שיודע לשלוח בקשת API יכול לשלוף שמות/כתובות מייל/מספרי טלפון וכל מידע אחר שנשמר בטבלאות ללא הרשאה.הפלטפורמות האלה מאפשרות לבנות אתרים יפים במהירות אבל הגדרות אבטחה כמו RLS לא מופעלות כברירת מחדל או שהמשתמשים פשוט לא מודעים לקיומן או לא מקנפגים אותן נכון.
כדי להקל עליי את עבודת הסריקה ביקשתי מקלוד שיכתוב לי סקריפטים, מצרף אותם כאן:
https://github.com/shraga100/vibe-table-audit- סקריפט מותאם לאתרי base44 (להרצה מהקונסול של הדפדפן)
- סקריפט להרצה עם tampermonkey שמותאם לאתרי lovable (ואולי גם לאתרים אחרים שמשתמשים בsuperbase)
אמנם יש כאן סיכון משמעותי לשימוש לרעה. אבל לענ"ד הפוטנציאל החיובי גדול יותר.
מי שמפעיל אתר חי עם נתוני משתמשים אמיתיים מומלץ מאוד להקדיש כמה דקות ולוודא שההגדרות הרשאות ישויות ובקרת גישה תקינות.
האחריות על המידע של המשתמשים היא שלכם!!!
נתקלתם באתר שהטבלאות שלו פתוחות לכל דכפין? יידעו את בעל האתר.
-
בהמשך לאשכול שפורסם כאן אתמול...
בחודשים האחרונים יצא לי לבדוק עשרות אתרים שנבנו בפלטפורמות vibe coding כמו base44 וlovable ומסתבר שבחלק גדול מהם טבלאות מסד הנתונים פתוחות לחלוטין לקריאה ציבורית ללא כל הגנה. המשמעות היא שכל מי שיודע לשלוח בקשת API יכול לשלוף שמות/כתובות מייל/מספרי טלפון וכל מידע אחר שנשמר בטבלאות ללא הרשאה.הפלטפורמות האלה מאפשרות לבנות אתרים יפים במהירות אבל הגדרות אבטחה כמו RLS לא מופעלות כברירת מחדל או שהמשתמשים פשוט לא מודעים לקיומן או לא מקנפגים אותן נכון.
כדי להקל עליי את עבודת הסריקה ביקשתי מקלוד שיכתוב לי סקריפטים, מצרף אותם כאן:
https://github.com/shraga100/vibe-table-audit- סקריפט מותאם לאתרי base44 (להרצה מהקונסול של הדפדפן)
- סקריפט להרצה עם tampermonkey שמותאם לאתרי lovable (ואולי גם לאתרים אחרים שמשתמשים בsuperbase)
אמנם יש כאן סיכון משמעותי לשימוש לרעה. אבל לענ"ד הפוטנציאל החיובי גדול יותר.
מי שמפעיל אתר חי עם נתוני משתמשים אמיתיים מומלץ מאוד להקדיש כמה דקות ולוודא שההגדרות הרשאות ישויות ובקרת גישה תקינות.
האחריות על המידע של המשתמשים היא שלכם!!!
נתקלתם באתר שהטבלאות שלו פתוחות לכל דכפין? יידעו את בעל האתר.
