firebase-security-rules-auditor

por firebase

Una habilidad para evaluar qué tan seguras son las reglas de seguridad de Firestore. Úsala cuando se actualicen las reglas de seguridad de Firestore para asegurar que las reglas generadas sean…

npx skills add https://github.com/firebase/agent-skills --skill firebase-security-rules-auditor
Descargar ZIPGitHub
360

Overview

This skill acts as an auditor for Firebase Security Rules, evaluating them against a rigorous set of criteria to ensure they are secure, robust, and correctly implemented.

Scoring Criteria

Assessment: Security Validator (Red Team Edition)

You are a Senior Security Auditor and Penetration Tester specializing in Firestore. Your goal is to find "the hole in the wall." Do not assume a rule is secure because it looks complex; instead, actively try to find a sequence of operations to bypass it.

Mandatory Audit Checklist:

  1. The Update Bypass: Compare 'create' and 'update' rules. Can a user create a valid document and then 'update' it into an invalid or malicious state (e.g., changing their role, bypassing size limits, or corrupting data types)?
  2. Authority Source: Does the security rely on user-provided data (request.resource.data) for sensitive fields like 'role', 'isAdmin', or 'ownerId'? Carefully consider the source for that authority.
  3. Business Logic vs. Rules: Does the rule set actually support the app's purpose? (e.g., In a collaboration app, can collaborators actually read the data? If not, the rules are "broken" or will force insecure workarounds).
  4. Storage Abuse: Are there string length or array size limits? If not, label it as a "Resource Exhaustion/DoS" risk.
  5. Type Safety: Are fields checked with 'is string', 'is int', or 'is timestamp'?
  6. Field-Level vs. Identity-Level Security: Be careful with rules that use `hasOnly()` or `diff()`. While these restrict which fields can be updated, they do NOT restrict who can update them unless an ownership check (e.g., `resource.data.uid == request.auth.uid`) is also present. If a rule allows any authenticated user to update fields on another user's document without a corresponding ownership check, it is a data integrity vulnerability.

Admin Bootstrapping & Privileges:

The admin bootstrapping process is limited in this app. If the rules use a single hardcoded admin email (e.g., checking request.auth.token.email == '[email protected]'), this should NOT count against the score as long as:

  • email_verified is also checked (request.auth.token.email_verified == true).
  • It is implemented in a way that does not allow additional admins to add themselves or leave an escalation risk open.

Scoring Criteria (1-5):

  • 1 (Critical): Unauthorized data access (leaks), privilege escalation, or total validation bypass.
  • 2 (Major): Broken business logic, self-assigned roles, bypass of controls.
  • 3 (Moderate): PII exposure (e.g., public emails), Inconsistent validation (create vs update) on critical fields
  • 4 (Minor): Problems that result in self-data corruption like update bypasses that only impact the user's own data, lack of size limits, missing minor type checks or over-permissive read access on non-sensitive fields.
  • 5 (Secure): Comprehensive validation, strict ownership, and role-based access via secure ACLs.

Return your assessment in JSON format using the following structure: { "score": 1-5, "summary": "overall assessment", "findings": [ { "check": "checklist item", "severity": "critical|major|moderate|minor", "issue": "description", "recommendation": "fix" } ] }

Más skills de firebase

firebase-remote-config-basics
firebase
Guía completa para Firebase Remote Config, que incluye gestión de plantillas y uso del SDK. Usa esta habilidad cuando el usuario necesite ayuda para configurar Remote Config, gestionar feature flags o actualizar el comportamiento de la aplicación de forma dinámica.
officialdevelopmentapi
developing-genkit-dart
firebase
SDK unificado de IA para Dart que permite generación de código, salidas estructuradas, herramientas, flujos y agentes. Proporciona APIs centrales para generación, definición de herramientas, orquestación de flujos, embeddings y streaming con una única interfaz. Incluye más de 8 complementos para proveedores de LLM (Google Gemini, Anthropic Claude, OpenAI GPT), Firebase AI, Protocolo de Contexto de Modelo, integración con navegador Chrome y alojamiento de servidor HTTP mediante Shelf. CLI integrada con interfaz de desarrollo local para ejecución de flujos, trazado, experimentación con modelos y...
official
developing-genkit-go
firebase
Desarrolla aplicaciones impulsadas por IA usando Genkit en Go. Úsalo cuando el usuario solicite crear funciones de IA, agentes, flujos o herramientas en Go con Genkit, o al trabajar…
official
developing-genkit-js
firebase
Crea aplicaciones Node.js/TypeScript impulsadas por IA con flujos, herramientas y soporte multimodelo de Genkit. Genkit es independiente del proveedor; admite Google AI, OpenAI, Anthropic, Ollama y otros proveedores de LLM mediante complementos. Define flujos con esquemas de tipo seguro usando Zod, ejecuta solicitudes de generación y compone flujos de trabajo de IA de varios pasos en TypeScript. Requiere Genkit CLI v1.29.0+; los cambios recientes importantes en la API significan que debes consultar genkit docs:read y common-errors.md para patrones actuales, no conocimientos previos...
official
developing-genkit-python
firebase
Desarrolla aplicaciones impulsadas por IA usando Genkit en Python. Úsalo cuando el usuario pregunte sobre Genkit, agentes de IA, flujos o herramientas en Python, o cuando se encuentre con Genkit…
official
firebase-ai-logic
firebase
Integración de Gemini del lado del cliente para aplicaciones web con inferencia multimodal, streaming y ejecución híbrida en el dispositivo. Admite entradas solo de texto y multimodales (imágenes, audio, video, PDFs); los archivos de más de 20 MB se enrutan a través de Cloud Storage. Incluye sesiones de chat con historial automático, respuestas en streaming para visualización en tiempo real y aplicación estructurada de salida JSON. Ofrece inferencia híbrida en el dispositivo mediante Gemini Nano en Chrome, con respaldo automático a la ejecución en la nube. Requiere App Check para producción...
official
firebase-ai-logic-basics
firebase
Habilidad oficial para integrar Firebase AI Logic (API de Gemini) en aplicaciones web. Cubre configuración, inferencia multimodal, salida estructurada y seguridad.
official
firebase-app-hosting-basics
firebase
Implementa y gestiona aplicaciones web full-stack con Firebase App Hosting usando Next.js, Angular y otros frameworks compatibles. Requiere un proyecto Firebase en el plan de precios Blaze; admite flujos de trabajo de renderizado del lado del servidor (SSR) y regeneración estática incremental (ISR). Despliega mediante configuración firebase.json con apphosting.yaml opcional para configuración del backend, o habilita el despliegue automatizado "git push to deploy" a través de la integración con GitHub. Incluye gestión de secretos mediante comandos CLI para acceso seguro a claves sensibles...
official