首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

firebase:一款功能强大的Firebase数据库安全漏洞与错误配置检测工具

firebase是一款针对Firebase数据库的安全工具,该工具基于Python 3开发,可以帮助广大研究人员针对目标Firebase数据执行安全漏洞扫描、漏洞测试和错误配置检测等任务。.../path/to/file.htm] [-o results.json] [-l /path/to/file] [-c 100] [-p 4] 命令行参数 -h:显示工具帮助信息和退出; -d:已下载...; --amass:amass扫描的输出文件路径 ([-o]选项); 工具使用样例 下列命令将查询Alexa排名前150的域名以及DNSDumpster提供的数据库,结果将存储至results_1.json...文件中,整个工具脚本将使用4个并行进程执行任务: python3 firebase.py -p 4 -f results_1.json -c 150 --dnsdumpster 生成的JSON结果文件将包含收集到的数据库安全信息以及转储的内容...,每个数据库包含一个状态数据,可能的值如下: -2:检测到漏洞; -1:目标数据库不存在; 0:可能可以执行进一步漏洞利用; 1:检测到漏洞; 许可证协议 本项目的开发与发布遵循MIT开源许可证协议

10810

我们弃用 Firebase

的确,纯从性能上讲,在 AWS/Azure/ GCP 上构建的定制化原生服务包优于 Firebase 套件。但是,当我们考虑到开发时间和维护成本Firebase 通常是一个合乎逻辑的选择。...与 MongoDB 不同,它不可能远程执行任何类似于 SQL 连接的操作。因此,开发人员必须接受 NoSQL 的精神,提前分发关系数据。...实际上,我们发现,在 CI/CD 方面,Firebase Hosting 比 AWS S3 + Cloudfront 更简单,因为它提供了一个简单的命令可以对存储库做这方面的设置。...我还注意到,无法在 Firebase Storage 仪表板上下载文件了;必须导航到单独的 GCP 平台。 我无法在 Firebase 仪表板上下载这个文件。...在 CI 代码中,过滤掉更改的文件,并部署与已更改的文件相对应的函数。不用说,这两种变通方法都有很多需要改进的地方。

32.5K30
您找到你想要的搜索结果了吗?
是的
没有找到

我们能用云函数做什么?

Firebase以独特的方式使用云函数来满足其独特需求,典型运用的领域: 当发生了一些新奇有趣的事情通知用户 执行实时的数据库清理和维护 在云上执行密集的任务,而不是在本地的应用程序上 与第三方的服务和...在这样的程序中,由实时数据库触发的写入功能以存储新的关注者可以创建Firebase的云消息通知,让用户知道他们的粉丝数又增加了。...下面是它的工作原理图: 当图像上传到Storage的时候,该函数会被触发 该函数下载该图像的并创建它的缩略图 该函数将此缩略图的位置写入数据库,这样客户端程序就可以使用它 该函数将缩略图上传到新的存储位置...YingJoy 其他在云上执行密集的任务,而不是在本地的应用程序上用例 1.定期删除使用的帐户 2.自动和上传的图像 3.向用户发送批量电子邮件 4.定期汇总数据 5.处理待处理的工作队列 四、与第三方的服务和...类似于上面的在云上执行密集的任务,而不是在本地的应用程序上 将存储在云对象存储COS的文件通过Map云函数进行文件映射 将映射出来的许多小文件分别通过云函数处理 然后将处理后的文件存储至云数据库中(使得

16.6K40

扩大Android攻击面:React Native Android应用程序分析

一般来说,在对Android应用程序进行逆向分析,我们需要使用dex2jar来对APK文件进行反编译,然后使用JD-GUI来进行下一步分析。...Native APK获取JavaSript 在这个例子中,我们将从下面这个React Native应用程序中提取出JavaScript代码: com.react_native_examples:【点我获取】 下载了上面这个...在我们之前的研究过程中,发现了很多没有正确使用Firebase认证模型的应用程序,其中就涉及到API密钥的不正确使用。...数据库进行身份认证,然后输出数据库中的呢日哦那个。...当然了,只有当我们给该脚本提供目标Firebase数据库的API密钥,脚本才会有权限来读取数据库中的内容。如果你还想对目标数据库进行类似写入之类的操作,请参考Pyrebase的【操作手册】。

9.7K30

Flutter 3.7 新特性:介绍后台isolate通道

然而,随着 Flutter 的日益成熟,越来越关注性能,俗话说“让它工作,让它正确,让它快速”。 选择实现这一特征有利于提高性能和易用性。 因此,考虑带来的收益我们决定实现这一特性。...另外一个问题是:为什么有人在后台线程中执行代码呢?因为有时您别无选择,库可能正调用后台 isolate 回调,例如 android_alarm_manager_plus。...用户之前创作都被存储Firebase Cloud 中,需求是用户可以用手机随时分享创作。...该 Flutter 应用启动时会开启一个后台 isolate 从 Firebase Cloud Store 下载 8K 文本提示相关图片,将图像压缩至指定规格大小导出,保存到相册,最后导出完成并发送通知...在此示例中,后台 isolate 至少使用了 3 个插件,一个用于从 Firebase Cloud Storage 中请求数据;接着保存到手机相册,保存完毕发送本地通知告诉用户。

4.1K40

Android Firebase 服务简介

早在2014年,谷歌收购了Firebase,这主要是一种面向应用程序开发人员的数据库。Firebase基本上向广大的应用程序开发人员提供不同的服务,比如存储、消息传递、通知和身份验证等服务。...实时数据库(Firebase Realtime Database) 云托管 NoSQL 数据库,数据为JSON形式,设备离线可以使用数据,具有同步功能,恢复链接可以上传回服务器。...存储Firebase Storage) Firebase Storage 由 Google Cloud Storage 提供支持,Firebase 应用提供安全的文件上传与下载。...可以使用它存储图片、音频、视频或其他用户生成的内容。 托管(Firebase Hosting) 为开发者提供的生产级网络内容托管。...利用 Hosting,仅需一条命令,即可快速简单地将网络应用和静态内容部署到全球内容交付网络 远程配置(Firebase Remote Config) 可以通过该服务更改应用的外观和行为,无需用户下载应用更新

22K90

想搞一套AI问答游戏系统?简单,Google又开源了

每个角色的音轨:开场音乐、回答正确或不正确的音效、计算音效、最终回合音效等。音效师总共设计了43种不同的音效,以OGG和WAV格式存储。...当用户开始使用问答系统,Google Assistant会加载程序,然后使用API.AI来处理用户的intents,接着进一步激活部署在Cloud Functions for Firebase上的实现逻辑...游戏的问题和答案,存储Firebase Realtime Database中。...这个应用程序使用 Firebase Hosting托管音频资源。 创建个性化游戏 使用Node.js脚本可以把问题和答案加载到数据库中。...只需要为你的游戏编辑questions.json文件,然后运行脚本把数据上传到Firebase数据库中。开发者也可以只是上传默认的问题,然后直接使用Firebase的网页GUI直接编辑数据库。 ?

5.1K50

我是如何找到Donald Daters应用数据库漏洞的

此外,我们还可以看到他们正在使用Firebase数据库。让我们看看他们是否正确配置了数据库。...如以下截图中所示,这里有一个指向数据库中用户头像的链接。 ? 多亏了这个简单的小脚本,帮我下载了所有可用的头像,我已将部分头像发布在了Twitter上。 这是一小部分配置文件图片。...漏洞利用 我创建了一个新的Android应用并添加了Firebase。具体操作可以参阅本指南。 在我的项目中有一个google-services.json文件,其中存储了所有Firebase设置。...为了与Donald Daters的Firebase数据库进行通信,我需要找到他们的Firebase设置(api密钥,数据库URL以及storage bucket)并将它们替换到我的google-services.json...缓解措施 发布应用时,不要使用Firebase数据库的开发设置; 聘请有能力的开发人员,这会带来很大的帮助。

6K20

【干货】手把手教你用苹果Core ML和Swift开发人脸目标识别APP

我还会在我的云存储桶中创建train /和eval /子目录 - 这是TensorFlow进行训练和评估模型校验文件存放的地方。...使用以前没有训练过的数据来评估我的模型的准确性: ? 您可以通过云端控制台来浏览机器学习引擎的“作业”部分,这一部分可以验证您的作业是否运行正确,并且可以检查作业的日志。 ?...Swift客户端将图像上传到云存储,这会触发Firebase,在Node.js中发出预测请求,并将生成的预测图像和数据保存到云存储和Firestore中。...用户选择照片后,会自动将图像上载到云端存储: ? 接下来,我编写了上传到我的项目的云存储触发的Firebase数据库。它把图像进行64位编码,并发送到机器学习引擎进行预测。...预测请求:我使用Firebase SDK for Cloud功能向我的机器学习引擎模型发出在线预测请求。此请求是由我的Swift应用上传到Firebase存储触发的。

14.7K60

AngularDart4.0 高级-部署 顶

当使用默认pub设置,得到一个适当小的JavaScript文件,得益于dart2js编译器对3次握手的支持. 做一点额外的工作, 可以使你的可扩展应用程序 更小, 更快, 更稳定....然而, --trust-primitives可能会产生意想不到的结果 (即使代码类型正确)如果你的数据不总是经过验证....如果某条代码路径没有经过测试, 应用程序能在dartdevc下运行,使用dart2js编译出现不正确的行为....使用缓存加载降低程序初始加载大小 可以使用Dart的缓存加载的支持来减少应用程序初始化下载的大小, 如使用Angular Dart懒加载中的描述....Firebase 使用Firebase向聊天程序通过漫游服务, 查看使用Dart, Angular 2和 Firebase 3构建一个实时聊天Web应用程序.

4.6K10

如何使用FirebaseExploiter扫描和发现Firebase数据库中的安全漏洞

关于FirebaseExploiter FirebaseExploiter是一款针对Firebase数据库的安全漏洞扫描与发现工具,该工具专为漏洞Hunter和渗透测试人员设计,在该工具的帮助下,...广大研究人员可以轻松识别出Firebase数据库中存在的可利用的安全问题。...功能介绍 1、支持对列表中的目标主机执行大规模漏洞扫描; 2、支持在exploit.json文件中自定义JSON数据并在漏洞利用过程中上传; 3、支持漏洞利用过程中的自定义URI路径;...数据库: 利用Firebase数据库漏洞,并写入自己的JSON文档: 以正确的JSON格式创建自己的exploit.json文件,并利用目标Firebase数据库中的安全漏洞。...检查漏洞利用URL并验证漏洞: 针对目标Firebase数据库添加自定义路径: 针对文件列表中的目标主机扫描不安全的Firebase数据库: 利用列表主机中Firebase数据库漏洞: 许可证协议

27610

如何用TensorFlow和Swift写个App识别霉霉?

第一步:预处理照片 首先我从谷歌上下载了 200 张 Taylor Swift 的照片,然后将它们分成两个数据集:训练集和测试集。然后给照片添加标签。测试集用于测试模型识别训练中未见过的照片的准确率。...所谓检查点就是一个二进制文件,包含了训练过程中在具体点TensorFlow模型的状态。下载和解压检查点后,你会看到它包含3个文件: ?...除了将我的模型和Cloud Storage中的数据连在一起外,配置文件还能为我的模型配置几个超参数,比如卷积大小、激活函数和步等等。...此外,还需要在 bucket 中创建 train/ 和 eval/ 子目录——在执行训练和验证模型, TensorFlow 写入模型检查点文件的地方。...在训练,我同时也启动了验证模型的工作,也就是用模型未见过的数据验证它的准确率: 通过导航至 Cloud 终端的 ML Engine 的 Jobs 部分,就可以查看模型的验证是否正在正确进行,并检查具体工作的日志

12.1K10

错误配置 Firebase 数据库导致 3000 多应用数据泄露

Firebase 是网络和移动应用程序的开发平台。 它提供了云消息传递,通知,数据库,分析功能以及许多后端 API。 它于 2014 年被谷歌收购,并受到众多Android开发者的欢迎。...也是最受欢迎的移动应用程序数据存储平台之一。 在查看超过 270 万移动应用程序后的 Appthority 中,发现 28,000 个移动应用程序将数据存储Firebase 的后端。...其中,3,046 个程序将 2,271 个数据错误地配置为 Firebase 数据库,同时允许第三方公开查看。...Appthority 指出,2,446 个 Android 程序在 Google Play 上的下载量超过 6.2 亿次。 它们分布在不同的类别中,从工具,生产力,健身,通信,财务和业务应用程序。...虽然这主要是因为开发者没有验证访问权限,以至于任何人都可以访问属于 Firebase 数据库的配置故障,但 Appthority 正在指向 Google,认为 Firebase 未在默认情况下保护好用户数据

4.5K20

TensorFlow Lite,ML Kit 和 Flutter 移动深度学习:6~11

=4, subset='valid', downgrade='bicubic') 将数据下载并加载到变量后,我们需要将训练图像和验证图像都转换为 TensorFlow 数据集对象。...在 VM 上安装 NLTK 并下载包 要在 VM 上安装 NLTK 并为其下载数据包,请执行以下步骤: 使用pip安装 NLTK: python3 -m pip install nltk NLTK 有几种不同的数据包...但是,如果您只希望下载一个包,请使用以下命令: python3 -m nltk.downloader stopwords 前面的命令将下载 NLTK 的stopwords数据包。...要创建 Firebase 项目,请执行以下步骤: 通过这里访问 Firebase 控制台。...下载google-services.json文件并将其放在app文件夹中: google-services.json文件存储开发人员凭据和配置设置,并充当 Firebase 项目和 Android 项目之间的桥梁

23K10

Swift多线程:GCD进阶,单例、信号量、任务组1. dispatch_once,以及Swift下的单例2. dispatch_after3. 队列的循环、挂起、恢复4. 信号量(semaphore

它循环执行并行队列中的任务,会开辟新的线程,不过有可能会在当前线程中执行一些任务。 如果需要循环的任务里面有特别耗时的操作,我们上一篇文章里面说是应该放在global里面的。...有时候多个线程对一个数据进行操作的时候,会造成一些意想不到的效果。多个人同时对同一个数据进行操作,谁知道怎么搞啊! 为了保证同时只有一个线程来修改这个数据,这个时候我们就要用到信号量了。...打个比方,我们在后台下载音乐、专辑的封面。等着两个都做完了,才通知用户可以去听音乐了。两个任务都是多线程,我们其实并不知道什么时候才能执行完毕。这个时候,就可以靠信号量,让大家互相等待。...任务组 GCD的任务组在开发中是经常被使用到,当需要一组任务结束后再执行一些操作,就可以用它啦。...DispatchGroup的职责就是当队列中的所有任务都执行完毕后,会发出一个通知来告诉告诉大家,任务组中所执行的队列中的任务执行完毕了。 既然是组,里面就肯定有很多队列啦,不然怎么能叫做“组”呐。

2.4K50

《Effective Objective-C 》干货三部曲(三):技巧篇

注意: 只有在这个全能初始化方法里面才能存储内部数据。这样一来,当底层数据存储机制改变,只需修改此方法的代码就好,无需改动其他初始化方法。...第39条:用handler块降低代码分散程度 下载网络数据,如果使用代理方法,会使得代码分布不紧凑,而且如果有多个下载任务的话,还要在回调的代理中判断当前请求的类型。...而且,如果在需求上指出:下载成功后得到的数据很少,也视为失败,那么单一块的写法就很适用,因为它可以取得数据后(成功)再判断其是否是下载成功的。...someString { dispatch_barrier_async(_syncQueue, ^{ _someString = someString; }); } 显然,数据正确性主要取决于写入操作...而且,对于执行一次的block来说,每次调用函数传入的标记都必须完全相同,通常标记变量声明在static或global作用域里。

73420

《Effective Objective-C 》干货三部曲(三):技巧篇

注意: 只有在这个全能初始化方法里面才能存储内部数据。这样一来,当底层数据存储机制改变,只需修改此方法的代码就好,无需改动其他初始化方法。...第39条:用handler块降低代码分散程度 下载网络数据,如果使用代理方法,会使得代码分布不紧凑,而且如果有多个下载任务的话,还要在回调的代理中判断当前请求的类型。...而且,如果在需求上指出:下载成功后得到的数据很少,也视为失败,那么单一块的写法就很适用,因为它可以取得数据后(成功)再判断其是否是下载成功的。...someString { dispatch_barrier_async(_syncQueue, ^{ _someString = someString; }); } 显然,数据正确性主要取决于写入操作...而且,对于执行一次的block来说,每次调用函数传入的标记都必须完全相同,通常标记变量声明在static或global作用域里。

69710
领券