Retool 安全吗? 如何加固你的 Retool 应用
Retool 能基于你的数据快速构建内部工具——风险在于过宽的数据库权限和应用上的访问控制。
简短回答
Retool 是一个具备真实安全控制的正规内部工具平台。风险来自配置:以宽泛写权限接入的数据库资源、把用户输入直接插入的查询,以及共享范围超出预期的应用。在依赖它之前,请锁定资源权限和应用访问。
Retool 是一个能基于你的数据库和 API 快速构建内部工具的正规平台,具备真正的安全功能。风险在于配置:以宽泛读写权限接入数据库资源、构建直接插入原始用户输入的查询(SQL 注入),以及把应用共享给超出预期的人。上线前,请把资源权限收紧到最小权限、对查询使用参数化,并复核每个应用谁能访问。
Retool 安全速览
- 平台类型
- 基于数据库/API 的内部工具构建器
- 最常见风险
- 过宽的数据库资源权限
- 也要留意
- 通过插入输入造成的 SQL 注入;应用共享
- 如何检查
- 审计资源作用域、查询与访问
- 可以上线吗?
- 可以——采用最小权限配置
Retool 最常见的安全风险
过宽的资源权限
拥有完整写权限的数据库资源,暴露的范围超过多数工具所需。请把凭据限定到最小权限。
通过原始输入造成的 SQL 注入
直接插入用户输入的查询是可被注入的。请使用参数化查询。
过宽的应用共享
在组织范围内共享的应用,可能触达不该看到数据的人。请逐个应用复核访问权限。
如何加固你的 Retool 应用
60 秒检查你的 Retool 应用
粘贴你已部署的网址,获取免费的上线就绪扫描,再在上线前拿到真人复核、带保险的放行许可。
Retool 安全常见问题
- Retool 安全吗?
- 在谨慎配置时是安全的。Retool 具备强大的安全功能,但风险来自过宽的资源权限、可注入的查询以及过宽的应用共享。在依赖它之前请应用最小权限。