有可能破解和更新firebase实时数据库数据吗
最近,我使用Firebase构建了一个应用程序,但在我通过广告获得了一些用户后,有人入侵了Firebase数据库并更新了所有用户数据,如。 用户名 剖面pic路径 他们把它设为一个坏单词和坏图片 然后我还检查了Firebase规则并重新定义了它们 像 只有经过身份验证的用户才能读/写 但问题是 黑客仍在更新firebase db上的值 我想知道我错过了什么 有没有可能在没有完整的安全密钥和其他东西的情况下更新Firebase db。。 使用浏览器可以吗 单个用户的用户数据 电子邮件:“https://m.me.developer.scg" 最新版本:“1617987743” 图:“https://www.dropbox.com/s/03a50cx4adxqepk/(url不能公开发布,因为它包含裸体图片)” 隐私:“普” 状态:“脱机” 状态:“让我们看一些电影” 类型:“自由用户” 用户名:“FU*KED BY DreamPLAY” 在这里,黑客更新了3个字段。 电邮: 照片:有可能破解和更新firebase实时数据库数据吗,firebase,firebase-realtime-database,Firebase,Firebase Realtime Database,最近,我使用Firebase构建了一个应用程序,但在我通过广告获得了一些用户后,有人入侵了Firebase数据库并更新了所有用户数据,如。 用户名 剖面pic路径 他们把它设为一个坏单词和坏图片 然后我还检查了Firebase规则并重新定义了它们 像 只有经过身份验证的用户才能读/写 但问题是 黑客仍在更新firebase db上的值 我想知道我错过了什么 有没有可能在没有完整的安全密钥和其他东西的情况下更新Firebase db。。 使用浏览器可以吗 单个用户的用户数据 电子邮件:“https
用户名:您必须知道,只要(1)有人拥有您的Firebase项目的apiKey,并且(2)启用了电子邮件/密码登录方法,此人就可以使用和(即创建一个新帐户) 如果您部署了一个链接到Firebase项目(Android、iOS、Web…)的应用程序,那么获取apiKey并不十分困难 因此,规则仅基于
auth!=null
允许通过REST API注册的任何人访问您的实时数据库。无需使用任何GUI:通过Auth REST API识别后,用户可以使用
一种避免“非期望”用户访问数据的经典方法是向期望的帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅。您必须知道,一旦(1)有人拥有Firebase项目的apiKey,并且(2)启用电子邮件/密码登录方法,此人可以使用and(即创建新帐户) 如果您部署了一个链接到Firebase项目(Android、iOS、Web…)的应用程序,那么获取apiKey并不十分困难 因此,规则仅基于
auth!=null
允许通过REST API注册的任何人访问您的实时数据库。无需使用任何GUI:通过Auth REST API识别后,用户可以使用
避免“非期望”用户访问数据的一种经典方法是向期望的帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅。我将作为以下部分回答:
API
,然后创建了项目,并将你的API
添加到项目中,然后他
创建authenticated
用户,然后他更新字段,因此这是
问题
Email
to1234567890 Email
as
示例(但更安全)
第二:是连接到谷歌云平台
,然后使用您的域设置谷歌云平台HTTP
(因为Firebase
只接受来自您域的数据)
第三:是创建更安全的规则,以拒绝访问整个数据库,但只是
允许访问一些集合
甚至文档
,这样会更方便
稳妥
我刚刚介绍了最著名的动作(你可以看到更多,但通过谷歌你的问题)
&但愿我能帮助你:)
我将分部分回答:
API
,然后创建了项目,并将你的API
添加到项目中,然后他
创建authenticated
用户,然后他更新字段,因此这是
问题
Email
to1234567890 Email
as
示例(但更安全)
第二:是连接到谷歌云平台
,然后使用您的域设置谷歌云平台HTTP
(因为Firebase
只接受来自您域的数据)
第三:是创建更安全的规则,以拒绝访问整个数据库,但只是
允许访问一些集合
甚至文档
,这样会更方便
稳妥
我刚刚介绍了最著名的动作(你可以看到更多,但通过谷歌你的问题)
&但愿我能帮助你:)
黑客只需找到你的Api,然后创建经过身份验证的用户,然后更新字段。。仅此而已,但有可能从Apk获取API密钥吗?简短回答:是的,但这比网站难。黑客找到了你的API,然后创建了经过身份验证的用户,然后更新了字段。。这就足够了,但有可能从Apk获取API密钥吗?简短回答:是的,但这比网站还难。嘿@jithinangelzjasz,你有时间看看我的答案吗?是的,我只允许对该节点的创建者进行写操作来保护数据库,即;用户只能访问自己的数据Hey@jithinangelzjasz,你有时间看看我的答案吗?是的,我只允许对该节点的创建者进行写操作,从而确保了数据库的安全;用户只能访问自己的数据啊,我更新了我的规则,那个用户只能访问自己的数据,@JithinAngel'zJas'z很棒:)嘿,用“StringFog”@JithinAngel'zJas'z可以解决这个问题吗?这是你的意见,但我认为是的,这可能有助于保护你的数据。耶,我更新了我的规则,那个用户只能访问自己的数据,@JithinAngel'zJas'z伟大的作品:)嘿,使用“StringFog”@JithinAngel'zJas'z可以解决这个问题吗?这是你的意见,但我认为是的,它可能有助于保护你的数据。