Jit*_*s'z 3 firebase firebase-realtime-database
最近我使用 Firebase 构建了一个应用程序,但是在我通过广告获得了一些用户后,有人刚刚入侵了 Firebase 数据库并更新了所有用户数据,例如 . 用户名 个人资料图片路径
他们将其设置为坏词和坏图片。
然后我还检查了 Firebase 规则并重新定义了它们..
喜欢
只有经过身份验证的用户才能读/写。
但问题是。
黑客仍在 firebase 数据库上更新 Value。
我想知道我错过了什么。
是否可以在没有完整安全密钥的情况下更新 Firebase 数据库......使用浏览器可能是?
单个用户的用户数据...
电子邮件:“https://m.me.developer.scg”lastseen:“1617987743”图片:“https://www.dropbox.com/s/03a50cx4adxqepk/(网址无法公开发布,其中包含裸照)”隐私:“PU”状态:“离线”状态:“让我们看一些电影”类型:“FREE USER”用户名:“FU * KED BY DreamPLAY”
这里黑客更新了 3 个字段。电子邮件: 图片: 用户名:
您必须知道,一旦 (1) 有人拥有您的 Firebase 项目的 apiKey 并且 (2) 启用了电子邮件/密码登录方法,此人就可以使用 Firebase Auth REST API并注册您的项目(即创建一个新帐户)。
如果您部署链接到 Firebase 项目(Android、iOS、Web...)的应用程序,获取 apiKey 并不是很困难。
因此,规则仅基于auth != null允许通过 REST API 注册的任何人访问您的实时数据库。无需使用任何GUI:通过Auth REST API识别后,用户可以使用RTDB REST API。
避免“非所需”用户访问数据的一种经典方法是向所需帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅文档。
| 归档时间: |
|
| 查看次数: |
9094 次 |
| 最近记录: |