SB-007Altodata-store

Sem RPC perigoso exposto para anon

Verifica se funções como `http_get`, `pg_net.*` e `dblink_*` estão fora do schema exposto.

Por que importa

Funções de rede expostas via PostgREST viram proxies SSRF gratuitos — o atacante faz requisições saindo da sua infra para metadados internos, bancos privados ou webhooks.

Como corrigir

Revogue `EXECUTE` das funções perigosas para as roles `anon` e `authenticated`, ou mova-as para um schema não exposto.

Verificar a correção

SB-007 · verifynão-destrutivo

curl -s "$SUPABASE_URL/rest/v1/rpc/http_get" -H "apikey: $ANON_KEY" -X POST -d '{}'

Referências

Supabase — Row Level Security
PostgREST — Authentication