firebase-security-rules-auditor
审计 Firebase 安全规则以发现漏洞
Firebase 安全规则复杂且容易配置错误。本技能能够依据经过验证的审计标准,系统性地评估 Firestore 安全规则,在攻击者发现漏洞之前将其找出。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“firebase-security-rules-auditor”。 审查一款包含用户资料和帖子的社交媒体应用的 Firestore 规则。
预期结果:
审计发现用户资料规则中存在一个严重漏洞。create 规则检查了所有权,但 update 规则未验证请求用户是否拥有该文档。这允许任何已认证用户修改任何用户资料。总体评分:2 分(满分 5 分)。
正在使用“firebase-security-rules-auditor”。 审计团队文档协作应用的安全规则。
预期结果:
这些规则总体上是安全的,用户文档具有正确的所有权检查。但团队文档规则使用了 hasOnly 而未进行所有权检查,导致任何已认证用户都可以修改团队数据。添加 resource.data.ownerId 等于 request.auth.uid 可以修复此问题。评分:3 分(满分 5 分)。
安全审计
安全All 8 static findings are false positives. The external_commands detection flagged Markdown inline code backticks (hasOnly(), diff()) as shell execution, which is incorrect. The weak cryptographic algorithm detection on lines 3 and 41 has no basis - line 3 is YAML frontmatter and line 41 is a JSON output example. The system reconnaissance findings refer to legitimate security auditing methodology for Firebase rules analysis. No prompt injection attempts detected. The skill is a well-structured security auditing tool that analyzes Firestore security rules without executing commands or exfiltrating data.
风险因素
⚙️ 外部命令 (1)
质量评分
你能构建什么
部署前安全审查
开发者在部署到生产环境前审查更新后的 Firestore 安全规则,以便在发布周期早期捕获漏洞。
事件响应调查
安全工程师通过审计当前 Firestore 安全规则中的弱点和错误配置,调查潜在的数据泄露事件。
合规与最佳实践审计
团队负责人每季度对所有 Firestore 安全规则进行审计,确保符合内部安全标准和行业最佳实践。
试试这些提示
审查以下 Firestore 安全规则,检查是否存在明显的安全问题:[在此粘贴您的规则]
使用强制性审计检查项对以下 Firestore 安全规则执行完整的安全审计。按 1 到 5 分对每个领域进行评分,并提供具体的发现与建议。规则:[在此粘贴您的规则]
对比以下 Firestore 安全规则中的 create 和 update 规则。找出任何可能让用户先创建有效文档,然后将其更新为无效或恶意状态的场景。规则:[在此粘贴您的规则]
分析以下 Firestore 安全规则中的所有权和访问控制逻辑。找出任何缺少适当所有权检查或允许未经授权访问文档的操作。规则:[在此粘贴您的规则]
最佳实践
- 确保每次写入操作(不仅是 create 操作)都包含所有权检查。
- 对所有文档字段使用类型检查函数(如 is string 和 is int),防止数据损坏。
- 将 create 和 update 规则并排对比,检测通过 update 绕过实现的权限提升。
避免
- 在未进行对应所有权验证的情况下使用 hasOnly 或 diff 限制,这虽然限制了字段变更,但并不能阻止未经授权的用户进行修改。
- 对 role 或 isAdmin 等敏感字段信任用户提供的数据,而未通过安全权威来源进行验证。
- 对 create 和 update 使用相同的规则,而未验证 update 操作无法绕过 create 时的限制。