// أبحاث الثغرات
أبحاث الثغرات لمواقع وتطبيقات مبنية بالذكاء الاصطناعي.
ملاحظات مدعومة بالمصادر حول الثغرات المهمة لتطبيقات الويب التي ينتجها الذكاء الاصطناعي، وحزم BaaS، وحزم الواجهة الأمامية، والمصادقة، وأمان التبعيات.
حقن SQL في المحتوى الخفي API (CVE-2026-26980)
تحتوي إصدارات Ghost من 3.24.0 إلى 6.19.0 على ثغرة أمنية خطيرة في حقن SQL في المحتوى API. يسمح هذا للمهاجمين غير المصادقين بتنفيذ أوامر SQL عشوائية، مما قد يؤدي إلى سرقة البيانات أو إجراء تعديلات غير مصرح بها.
كل الأبحاث
34 مقال
تنفيذ التعليمات البرمجية عن بعد في SPIP عبر علامات القالب (CVE-2016-7998)
تحتوي نسخة SPIP 3.1.2 والإصدارات السابقة على ثغرة أمنية في مؤلف القالب. يمكن للمهاجمين المعتمدين تحميل ملفات HTML باستخدام علامات INCLUDE أو INCLURE المعدة لتنفيذ تعليمات PHP عشوائية على الخادم.
الكشف عن معلومات تكوين ZoneMinder Apache (CVE-2016-10140)
تتأثر إصدارات ZoneMinder 1.29 و1.30 بالتكوين الخاطئ لخادم Apache HTTP. يسمح هذا الخلل للمهاجمين عن بعد وغير المصادق عليهم بتصفح دليل جذر الويب، مما قد يؤدي إلى الكشف عن معلومات حساسة وتجاوز المصادقة.
Next.js التكوين الخاطئ لرأس الأمان في next.config.js
تكون تطبيقات Next.js التي تستخدم next.config.js لإدارة الرأس عرضة للثغرات الأمنية إذا كانت أنماط مطابقة المسار غير دقيقة. يستكشف هذا البحث كيف تؤدي التكوينات الخاطئة لأحرف البدل والتعبير العادي إلى فقدان رؤوس الأمان على المسارات الحساسة وكيفية تقوية التكوين.
تكوين رأس الأمان غير مناسب
غالبًا ما تفشل تطبيقات الويب في تنفيذ ترويسات الأمان الأساسية، مما يترك المستخدمين عرضة للبرمجة النصية عبر المواقع (XSS)، واختراق النقرات، وحقن البيانات. من خلال اتباع إرشادات أمان الويب المعمول بها واستخدام أدوات التدقيق مثل مرصد MDN، يمكن للمطورين تقوية تطبيقاتهم بشكل كبير ضد الهجمات الشائعة المستندة إلى المتصفح.
التخفيف من المخاطر العشرة الأولى في تطوير الويب السريع OWASP
غالبًا ما يواجه المتسللون المستقلون والفرق الصغيرة تحديات أمنية فريدة عند الشحن السريع، خاصة مع التعليمات البرمجية التي تم إنشاؤها بواسطة AI. يسلط هذا البحث الضوء على المخاطر المتكررة من فئتي CWE Top 25 وOWASP، بما في ذلك التحكم في الوصول المعطل والتكوينات غير الآمنة، مما يوفر أساسًا لعمليات فحص الأمان الآلية.
تكوينات رأس HTTP غير الآمنة في التطبيقات التي تم إنشاؤها بواسطة AI
غالبًا ما تفتقر التطبيقات التي تم إنشاؤها بواسطة مساعدي AI إلى رؤوس أمان HTTP الأساسية، مما يؤدي إلى فشلها في تلبية معايير الأمان الحديثة. يؤدي هذا الإغفال إلى ترك تطبيقات الويب عرضة للهجمات الشائعة من جانب العميل. من خلال استخدام معايير مثل Mozilla HTTP Observatory، يمكن للمطورين تحديد وسائل الحماية المفقودة مثل CSP وHSTS لتحسين الوضع الأمني لتطبيقاتهم.
اكتشاف نقاط الضعف في البرمجة النصية عبر المواقع (XSS) ومنعها
تحدث البرمجة النصية عبر المواقع (XSS) عندما يتضمن أحد التطبيقات بيانات غير موثوق بها في صفحة ويب دون التحقق من الصحة أو التشفير بشكل صحيح. يتيح ذلك للمهاجمين تنفيذ نصوص برمجية ضارة في متصفح الضحية، مما يؤدي إلى اختطاف الجلسة، واتخاذ إجراءات غير مصرح بها، والكشف عن البيانات الحساسة.
حقن LiteLLM Proxy SQL (CVE-2026-42208)
تسمح الثغرة الأمنية الحرجة لحقن SQL (CVE-2026-42208) في مكون الوكيل الخاص بـ LiteLLM للمهاجمين بتجاوز المصادقة أو الوصول إلى معلومات قاعدة البيانات الحساسة من خلال استغلال عملية التحقق من مفتاح API.
المخاطر الأمنية لبرمجة Vibe: تدقيق التعليمات البرمجية التي تم إنشاؤها بواسطة AI
يؤدي ظهور "التشفير الحيوي" - بناء التطبيقات بشكل أساسي من خلال المطالبة السريعة AI - إلى مخاطر مثل بيانات الاعتماد المشفرة وأنماط التعليمات البرمجية غير الآمنة. نظرًا لأن نماذج AI قد تقترح تعليمات برمجية تعتمد على بيانات التدريب التي تحتوي على ثغرات أمنية، فيجب التعامل مع مخرجاتها على أنها غير موثوق بها وتدقيقها باستخدام أدوات المسح الآلي لمنع تعرض البيانات.
أمان JWT: مخاطر الرموز المميزة غير المضمونة والتحقق من صحة المطالبة المفقودة
توفر JSON Web Tokens (JWTs) معيارًا لنقل المطالبات، لكن الأمان يعتمد على التحقق الصارم من الصحة. يسمح الفشل في التحقق من التوقيعات أو أوقات انتهاء الصلاحية أو الجماهير المقصودة للمهاجمين بتجاوز المصادقة أو إعادة تشغيل الرموز المميزة.
تأمين عمليات نشر Vercel: أفضل ممارسات الحماية والرأس
يستكشف هذا البحث تكوينات الأمان للتطبيقات التي تستضيفها Vercel، مع التركيز على حماية النشر ورؤوس HTTP المخصصة. وهو يشرح كيف تحمي هذه الميزات بيئات المعاينة وتفرض سياسات أمان من جانب المتصفح لمنع الوصول غير المصرح به وهجمات الويب الشائعة.
حقن أوامر نظام التشغيل الحرجة في LibreNMS (CVE-2024-51092)
تحتوي إصدارات LibreNMS حتى 24.9.1 على ثغرة أمنية حرجة في حقن أوامر نظام التشغيل (CVE-2024-51092). يمكن للمهاجمين المعتمدين تنفيذ أوامر عشوائية على النظام المضيف، مما قد يؤدي إلى اختراق كامل للبنية التحتية للمراقبة.
حقن LiteLLM SQL في الوكيل API التحقق من المفتاح (CVE-2026-42208)
تحتوي إصدارات LiteLLM من 1.81.16 إلى 1.83.6 على ثغرة أمنية حرجة في حقن SQL في منطق التحقق من مفتاح Proxy API. يسمح هذا الخلل للمهاجمين غير المصادقين بتجاوز عناصر التحكم في المصادقة أو الوصول إلى قاعدة البيانات الأساسية. تم حل المشكلة في الإصدار 1.83.7.
قواعد الأمان Firebase: منع التعرض للبيانات غير المصرح بها
تعد قواعد الأمان Firebase بمثابة الدفاع الأساسي للتطبيقات التي لا تحتوي على خادم والتي تستخدم Firestore وCloud Storage. عندما تكون هذه القواعد متساهلة للغاية، مثل السماح بالوصول العالمي للقراءة أو الكتابة في الإنتاج، يمكن للمهاجمين تجاوز منطق التطبيق المقصود لسرقة البيانات الحساسة أو حذفها. يستكشف هذا البحث التكوينات الخاطئة الشائعة، ومخاطر الإعدادات الافتراضية لـ "وضع الاختبار"، وكيفية تنفيذ التحكم في الوصول المستند إلى الهوية.
حماية CSRF: الدفاع ضد تغييرات الحالة غير المصرح بها
لا يزال تزوير الطلبات عبر المواقع (CSRF) يمثل تهديدًا كبيرًا لتطبيقات الويب. يستكشف هذا البحث كيفية قيام أطر العمل الحديثة مثل Django بتنفيذ الحماية وكيف توفر السمات على مستوى المتصفح مثل SameSite دفاعًا متعمقًا ضد الطلبات غير المصرح بها.
قائمة التحقق من الأمان API: 12 شيئًا يجب التحقق منها قبل البث المباشر
تعد واجهات برمجة التطبيقات (API) العمود الفقري لتطبيقات الويب الحديثة ولكنها غالبًا ما تفتقر إلى الدقة الأمنية للواجهات الأمامية التقليدية. توضح هذه المقالة البحثية قائمة مرجعية أساسية لتأمين واجهات برمجة التطبيقات (APIs)، مع التركيز على التحكم في الوصول، وتحديد المعدل، ومشاركة الموارد عبر الأصل (CORS) لمنع خروقات البيانات وإساءة استخدام الخدمة.
API تسرب المفتاح: المخاطر والعلاج في تطبيقات الويب الحديثة
تسمح الأسرار المشفرة في كود الواجهة الأمامية أو سجل المستودع للمهاجمين بانتحال صفة الخدمات والوصول إلى البيانات الخاصة وتكبد التكاليف. تتناول هذه المقالة مخاطر التسرب السري والخطوات اللازمة للتنظيف والوقاية.
التكوين الخاطئ CORS: مخاطر السياسات المفرطة في التساهل
مشاركة الموارد عبر الأصل (CORS) هي آلية متصفح مصممة لتخفيف سياسة المصدر نفسه (SOP). على الرغم من أنه ضروري لتطبيقات الويب الحديثة، إلا أن التنفيذ غير الصحيح - مثل صدى رأس الأصل الخاص بالطالب أو إدراج الأصل "الفارغ" في القائمة البيضاء - يمكن أن يسمح للمواقع الضارة بتصفية بيانات المستخدم الخاصة.
تأمين MVP: منع تسرب البيانات في تطبيقات SaaS التي تم إنشاؤها بواسطة AI
غالبًا ما تعاني تطبيقات SaaS سريعة التطوير من الرقابة الأمنية الحرجة. يستكشف هذا البحث كيف أن الأسرار المسربة وعناصر التحكم في الوصول المعطلة، مثل فقدان أمان مستوى الصف (RLS)، تؤدي إلى إنشاء ثغرات أمنية عالية التأثير في مكدسات الويب الحديثة.