ScavioScavio
ProductoPreciosDocumentación
Iniciar sesionComenzar
  1. Inicio
  2. Tutoriales
  3. Cómo auditar las configuraciones incorrectas de Supabase RLS a escala a través de SERP
Tutorial

Cómo auditar las configuraciones incorrectas de Supabase RLS a escala a través de SERP

Descubra proyectos públicos de Supabase con seguridad de nivel de fila deshabilitada al salir de los idiotas de Google y confirmar con sondas livianas.

Obtener clave API gratisDocumentacion API

Las configuraciones erróneas de Supabase RLS fueron la principal causa de filtraciones de datos públicos en 2025. Los investigadores de seguridad utilizan Google Dorks y sondas específicas para encontrar proyectos con RLS deshabilitado. Este tutorial ejecuta una auditoría ética de su propia infraestructura o del alcance de su recompensa de errores utilizando Scavio SERP.

Requisitos previos

  • Python 3.10+
  • Una clave API de Scavio
  • Recompensa por errores por escrito o permiso dentro del alcance
  • solicita biblioteca

Guia paso a paso

Paso 1: Crea la lista de idiotas

Dominios alojados en Supabase y patrones de puntos finales REST.

Python
DORKS = [
  'site:supabase.co inurl:/rest/v1/',
  '\"supabase.co\" inurl:/rest/v1/ \"anon\"',
  'inurl:supabase apikey'
]

Paso 2: Consulta a Scavio para cada idiota

Recopile todas las URL candidatas.

Python
import requests, os
API_KEY = os.environ['SCAVIO_API_KEY']

def find_candidates():
    hits = []
    for d in DORKS:
        r = requests.post('https://api.scavio.dev/api/v1/search',
            headers={'x-api-key': API_KEY},
            json={'query': d, 'num_results': 50})
        hits += r.json().get('organic_results', [])
    return hits

Paso 3: Filtrar a dominios dentro del alcance

Deje caer cualquier cosa fuera de su alcance autorizado.

Python
IN_SCOPE = {'my-company.com', 'my-staging.supabase.co'}
def in_scope(url):
    return any(s in url for s in IN_SCOPE)

Paso 4: Sondear el punto final

Un HEAD o GET no intrusivo con una clave anónima revela el estado de RLS.

Python
def probe(url):
    r = requests.get(url, timeout=5)
    if r.status_code == 200 and r.json():
        return 'RLS LIKELY DISABLED'
    return 'OK'

Paso 5: Hallazgos del informe

Escriba un CSV listo para el canal de seguridad.

Python
import csv
def report(findings):
    with open('rls_audit.csv', 'w') as f:
        w = csv.writer(f); w.writerow(['url', 'status'])
        for u, s in findings: w.writerow([u, s])

Ejemplo en Python

Python
import os, requests

API_KEY = os.environ['SCAVIO_API_KEY']
IN_SCOPE = {'my-company.com'}

def audit():
    r = requests.post('https://api.scavio.dev/api/v1/search',
        headers={'x-api-key': API_KEY},
        json={'query': 'site:supabase.co inurl:/rest/v1/ my-company', 'num_results': 30})
    for hit in r.json().get('organic_results', []):
        url = hit['link']
        if not any(s in url for s in IN_SCOPE):
            continue
        probe = requests.get(url, timeout=5)
        if probe.status_code == 200 and probe.text.startswith('['):
            print(f'ALERT: {url} may have RLS disabled')

audit()

Ejemplo en JavaScript

JavaScript
const API_KEY = process.env.SCAVIO_API_KEY;
const IN_SCOPE = ['my-company.com'];

export async function audit() {
  const r = await fetch('https://api.scavio.dev/api/v1/search', {
    method: 'POST',
    headers: { 'x-api-key': API_KEY, 'Content-Type': 'application/json' },
    body: JSON.stringify({ query: 'site:supabase.co inurl:/rest/v1/ my-company', num_results: 30 })
  });
  const data = await r.json();
  for (const hit of data.organic_results || []) {
    if (!IN_SCOPE.some(s => hit.link.includes(s))) continue;
    const probe = await fetch(hit.link);
    if (probe.ok) console.log('ALERT: possible RLS issue at', hit.link);
  }
}

Salida esperada

JSON
CSV of in-scope Supabase endpoints flagged as possibly RLS-disabled. Researchers verify manually before reporting. Typical run: 30 dorks, 300 candidates, 5-15 real findings per bounty program.

Tutoriales relacionados

  • Cómo escanear aplicaciones Bolt.host en busca de configuraciones incorrectas
  • Cómo crear una herramienta de auditoría SEO con SERP y análisis de la competencia
  • Cómo auditar su sitio para garantizar la legibilidad del LLM

Preguntas frecuentes

La mayoria de los desarrolladores completan este tutorial en 15 a 30 minutos. Necesitaras una clave API de Scavio (el plan gratuito funciona) y un entorno de Python o JavaScript.

Python 3.10+. Una clave API de Scavio. Recompensa por errores por escrito o permiso dentro del alcance. solicita biblioteca. Una clave API de Scavio te da 50 creditos gratuitos al registrarte.

Si. El plan gratuito incluye 50 creditos al registrarte, mas que suficiente para completar este tutorial y crear un prototipo funcional.

Scavio tiene un paquete nativo de LangChain (langchain-scavio), un servidor MCP y una API REST simple que funciona con cualquier cliente HTTP. Este tutorial usa the raw REST API, pero puedes adaptarlo al framework que prefieras.

Recursos relacionados

Best Of

La mejor API de búsqueda de Google en 2026

Read more
Best Of

Las mejores API de datos comerciales de Google Maps (mayo de 2026)

Read more
Solution

Enriquezca las campañas de correo electrónico frío con datos comerciales de Google Maps

Read more
Solution

Migrar fuera de Google CSE antes de enero de 2027

Read more
Use Case

Conexión a tierra de RAG después de Google I/O 2026

Read more
Workflow

Supabase RLS Misconfiguration Scanner

Read more

Empieza a construir

Descubra proyectos públicos de Supabase con seguridad de nivel de fila deshabilitada al salir de los idiotas de Google y confirmar con sondas livianas.

Obtener clave API gratuitaLeer la documentacion
ScavioScavio

API de busqueda en tiempo real para agentes de IA. Busca en todas las plataformas, no solo en Google.

Producto

  • Funciones
  • Precios
  • Panel
  • Afiliados

Desarrolladores

  • Documentacion
  • Referencia de API
  • Inicio rapido
  • Integracion MCP
  • Python SDK

Alternativas

  • Alternativa a Tavily
  • Alternativa a SerpAPI
  • Alternativa a Firecrawl
  • Alternativa a Exa

Herramientas

  • Formateador JSON
  • cURL a codigo
  • Contador de tokens
  • Todas las herramientas

© 2026 Scavio. Todos los derechos reservados.

Featured on TAAFT
Terminos de servicioPolitica de privacidad