Publicly exposed Firebase Database

Base de données Firebase exposée publiquement

Risk: high

Description

Firebase est une plateforme de développement d'applications mobiles et web qui fournit divers outils et services aux développeurs, notamment une base de données en temps réel. Si une base de données Firebase est exposée publiquement, cela signifie que n'importe qui peut accéder et manipuler les données stockées dans la base de données sans aucune authentification ni autorisation.

L'impact de sécurité de l'exposition publique d'une base de données Firebase peut être grave, car il peut entraîner les risques de sécurité suivants :

• Accès non autorisé : N'importe qui peut accéder aux données de la base de données sans authentification ni autorisation, ce qui signifie que les informations sensibles stockées peuvent être consultées par des utilisateurs non autorisés.
• Falsification des données : Les attaquants peuvent modifier, ajouter ou supprimer des données dans la base de données, ce qui peut entraîner une perte de données ou des données inexactes, avec des conséquences graves pour l'application ou l'entreprise.
• Divulgation d'informations : Les attaquants peuvent accéder à des informations sensibles telles que des mots de passe, des informations personnelles, des données financières et d'autres informations confidentielles potentiellement stockées dans la base de données.
• Attaques malveillantes : Les attaquants peuvent lancer diverses attaques malveillantes, telles que des attaques par injection, du cross-site scripting (XSS) et d'autres types d'attaques pour exploiter les vulnérabilités de l'application connectée à la base de données Firebase.
• Perte de réputation : Si des informations sensibles sont exposées, cela peut entraîner une perte de confiance et de crédibilité auprès des clients, ce qui peut avoir un impact significatif sur la réputation de l'entreprise.

Pour vérifier si une base de données Firebase est exposée publiquement, vous pouvez utiliser la commande curl suivante :

Bash

curl -X GET 'https://<project-id>.firebaseio.com/.json'

Remplacez <project-id> par l'identifiant du projet Firebase que vous souhaitez vérifier. Cette commande tentera de récupérer le nœud racine de la base de données Firebase au format JSON.

Si la base de données Firebase est exposée publiquement, vous devriez pouvoir récupérer les données sans aucune authentification ni autorisation.

Si la base de données est sécurisée et correctement configurée, vous recevrez un message d'erreur indiquant que vous n'êtes pas autorisé à accéder aux données.

Recommandation

Pour rendre une base de données Firebase privée, vous pouvez suivre ces étapes techniques :

• Activer Firebase Authentication : Firebase Authentication vous permet d'authentifier les utilisateurs et de contrôler l'accès à votre base de données. Vous pouvez utiliser Firebase Authentication pour authentifier les utilisateurs via divers fournisseurs, tels que l'email et le mot de passe, Google, Facebook, etc.

• Configurer Firebase Security Rules : Firebase Security Rules vous permettent de définir comment vos données doivent être consultées et quels utilisateurs peuvent lire ou écrire dans la base de données. Vous pouvez définir des règles basées sur l'authentification des utilisateurs et des chemins de données spécifiques dans la base de données.

Liens

• Firebase Security Rules
• 10 Firebase Realtime Database Rule Templates

Normes

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_3
  • REQ_6_4
  • REQ_7_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_3_4
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5