Publicly exposed Firebase Database

公开暴露的 Firebase 数据库

Risk: high

描述

Firebase 是一个移动和 Web 应用程序开发平台，为开发者提供各种工具和服务，包括实时数据库。如果 Firebase 数据库被公开暴露，这意味着任何人都可以无需任何身份验证或授权即可访问和操作存储在数据库中的数据。

公开暴露 Firebase 数据库的安全影响可能非常严重，因为它可能导致以下安全风险：

• 未经授权的访问：任何人都可以未经身份验证或授权访问数据库中的数据，这意味着未经授权的用户可以访问存储在数据库中的敏感信息。
• 数据篡改：攻击者可以修改、添加或删除数据库中的数据，这可能导致数据丢失或数据不准确，从而对应用程序或业务造成严重后果。
• 信息泄露：攻击者可以访问数据库中可能存储的密码、个人信息、财务数据和其他机密信息等敏感信息。
• 恶意攻击：攻击者可以发起各种恶意攻击，例如注入攻击、跨站脚本（XSS）攻击和其他类型的攻击，以利用连接到 Firebase 数据库的应用程序中的漏洞。
• 声誉损失：如果敏感信息被暴露，可能会导致客户失去信任和信誉，从而对企业的声誉产生重大影响。

要检查 Firebase 数据库是否被公开暴露，您可以使用以下 curl 命令：

Bash

curl -X GET 'https://<project-id>.firebaseio.com/.json'

将 <project-id> 替换为您要检查的 Firebase 项目的 ID。此命令将尝试以 JSON 格式检索 Firebase 数据库的根节点。

如果 Firebase 数据库被公开暴露，您应该能够无需任何身份验证或授权检索数据。

如果数据库安全且配置正确，您将收到一条错误消息，指出您未获授权访问该数据。

建议

要将 Firebase 数据库设为私有，您可以按照以下技术步骤操作：

• 启用 Firebase Authentication：Firebase Authentication 允许您验证用户并控制对数据库的访问。您可以使用 Firebase Authentication 通过各种提供商（如电子邮件和密码、Google、Facebook 等）对用户进行身份验证。

• 配置 Firebase Security Rules：Firebase Security Rules 允许您定义应如何访问您的数据以及哪些用户可以读取或写入数据库。您可以基于用户身份验证和数据库中的特定数据路径定义规则。

链接

• Firebase Security Rules
• 10 Firebase Realtime Database Rule Templates

标准

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_3
  • REQ_6_4
  • REQ_7_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_3_4
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5