名称: supabase-help
描述: Supabase安全审计技能的快速参考,包含使用示例和命令概览。
Supabase渗透测试技能帮助
所有24个安全审计技能的快速参考。
何时使用此技能
- 需要快速了解可用技能
- 寻找特定任务的合适技能
- 想要某个技能的使用示例
快速开始
# 完整引导式审计
/supabase-pentest https://myapp.example.com
# 检查应用是否使用Supabase
/supabase-detect https://myapp.example.com
# 从之前的审计生成报告
/supabase-report
所有技能参考
编排
| 技能 |
命令 |
用途 |
supabase-pentest |
/supabase-pentest <url> |
完整引导式安全审计 |
supabase-evidence |
/supabase-evidence |
初始化证据收集 |
supabase-help |
/supabase-help |
此帮助参考 |
检测
| 技能 |
命令 |
用途 |
supabase-detect |
/supabase-detect <url> |
检测Supabase使用情况 |
提取
| 技能 |
命令 |
用途 |
supabase-extract-url |
/supabase-extract-url <url> |
查找Supabase项目URL |
supabase-extract-anon-key |
/supabase-extract-anon-key |
提取匿名API密钥 |
supabase-extract-service-key |
/supabase-extract-service-key |
查找泄露的服务密钥 |
supabase-extract-jwt |
/supabase-extract-jwt |
从代码中提取JWT |
supabase-extract-db-string |
/supabase-extract-db-string |
查找数据库连接字符串 |
API审计
| 技能 |
命令 |
用途 |
supabase-audit-tables-list |
/supabase-audit-tables-list |
列出暴露的表 |
supabase-audit-tables-read |
/supabase-audit-tables-read |
读取表数据 |
supabase-audit-rls |
/supabase-audit-rls |
测试RLS策略 |
supabase-audit-rpc |
/supabase-audit-rpc |
测试RPC函数 |
存储审计
| 技能 |
命令 |
用途 |
supabase-audit-buckets-list |
/supabase-audit-buckets-list |
列出存储桶 |
supabase-audit-buckets-read |
/supabase-audit-buckets-read |
读取存储桶文件 |
supabase-audit-buckets-public |
/supabase-audit-buckets-public |
查找公共存储桶 |
认证审计
| 技能 |
命令 |
用途 |
supabase-audit-auth-config |
/supabase-audit-auth-config |
检查认证设置 |
supabase-audit-auth-signup |
/supabase-audit-auth-signup |
测试注册访问 |
supabase-audit-auth-users |
/supabase-audit-auth-users |
测试用户枚举 |
supabase-audit-authenticated |
/supabase-audit-authenticated |
创建测试用户以检测IDOR |
实时与函数
| 技能 |
命令 |
用途 |
supabase-audit-realtime |
/supabase-audit-realtime |
测试实时通道 |
supabase-audit-functions |
/supabase-audit-functions |
测试边缘函数 |
报告
| 技能 |
命令 |
用途 |
supabase-report |
/supabase-report |
生成Markdown报告 |
supabase-report-compare |
/supabase-report-compare <old> <new> |
比较两个报告 |
严重级别
| 级别 |
颜色 |
描述 |
| P0 |
🔴 |
严重:数据暴露、用户数据、权限提升 |
| P1 |
🟠 |
高:敏感数据、安全配置错误 |
| P2 |
🟡 |
中:轻微暴露、最佳实践违规 |
常见工作流程
快速安全检查
1. /supabase-detect https://myapp.com
2. /supabase-extract-anon-key
3. /supabase-audit-rls
4. /supabase-report
完整审计
1. /supabase-pentest https://myapp.com
(跟随引导提示完成所有阶段)
仅存储审计
1. /supabase-detect https://myapp.com
2. /supabase-audit-buckets-list
3. /supabase-audit-buckets-public
4. /supabase-report
修复后比较
1. 将之前的报告复制到 reports/audit-v1.md
2. 运行新审计: /supabase-pentest https://myapp.com
3. /supabase-report-compare reports/audit-v1.md supabase-audit-report.md
创建的文件和目录
| 文件/目录 |
描述 |
.sb-pentest-context.json |
技能间共享上下文 |
.sb-pentest-audit.log |
带时间戳的操作日志 |
.sb-pentest-evidence/ |
专业审计的证据目录 |
supabase-audit-report.md |
最终安全报告 |
证据目录结构
.sb-pentest-evidence/
├── README.md # 证据索引
├── curl-commands.sh # 可复现的命令
├── timeline.md # 按时间顺序的发现
├── 01-detection/ # 检测证据
├── 02-extraction/ # 密钥提取证据
├── 03-api-audit/ # API审计证据
├── 04-storage-audit/ # 存储审计证据
├── 05-auth-audit/ # 认证审计证据
├── 06-realtime-audit/ # 实时审计证据
├── 07-functions-audit/ # 函数审计证据
└── screenshots/ # 可选截图
提示
- 始终先运行检测 — 大多数技能自动调用它,但显式运行更快
- 检查上下文文件 — 如果技能行为异常,上下文可能有陈旧数据
- 使用编排器进行完整审计 — 它自动处理依赖关系
- 用日期保存报告 — 将
supabase-audit-report.md 重命名为包含日期以记录历史
需要更多帮助?
- 每个技能都有详细文档 — 运行
/supabase-<skill-name> 获取具体信息
- 在存储库根目录查看README
- 在GitHub上提交问题以报告错误或请求功能