// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL инжектиране в призрачно съдържание API (CVE-2026-26980)
Призрачните версии 3.24.0 до 6.19.0 съдържат критична уязвимост при инжектиране на SQL в съдържанието API. Това позволява на неупълномощени нападатели да изпълняват произволни SQL команди, потенциално водещи до кражба на данни или неоторизирани модификации.
Всички проучвания
34 articles
Отдалечено изпълнение на код в SPIP чрез етикети на шаблон (CVE-2016-7998)
SPIP версии 3.1.2 и по-стари съдържат уязвимост в съставителя на шаблони. Удостоверените нападатели могат да качват HTML файлове с изработени тагове INCLUDE или INCLURE, за да изпълнят произволен PHP код на сървъра.
Разкриване на информация за конфигурацията на ZoneMinder Apache (CVE-2016-10140)
ZoneMinder версии 1.29 и 1.30 са засегнати от пакетна неправилна конфигурация на HTTP сървъра на Apache. Този пропуск позволява на отдалечени, неупълномощени нападатели да разглеждат главната уеб директория, което потенциално води до разкриване на чувствителна информация и заобикаляне на удостоверяването.
Next.js Неправилна конфигурация на хедъра за сигурност в next.config.js
Next.js приложенията, използващи next.config.js за управление на заглавки, са податливи на пропуски в сигурността, ако шаблоните за съвпадение на пътя са неточни. Това изследване изследва как грешните конфигурации със заместващи символи и регулярни изрази водят до липсващи заглавки за сигурност на чувствителни маршрути и как да се втвърди конфигурацията.
Неадекватна конфигурация на хедъра за сигурност
Уеб приложенията често не успяват да внедрят основни заглавки за сигурност, оставяйки потребителите изложени на междусайтови скриптове (XSS), щракване и инжектиране на данни. Следвайки установените насоки за уеб сигурност и използвайки инструменти за одит като MDN Observatory, разработчиците могат значително да втвърдят своите приложения срещу обичайните атаки, базирани на браузър.
Намаляване на OWASP Топ 10 на риска при бърза уеб разработка
Независимите хакери и малките екипи често са изправени пред уникални предизвикателства за сигурността при бърза доставка, особено с код, генериран от AI. Това изследване подчертава повтарящи се рискове от категориите CWE Топ 25 и OWASP, включително повреден контрол на достъпа и несигурни конфигурации, предоставяйки основа за автоматизирани проверки за сигурност.
Несигурни конфигурации на HTTP хедъри в приложения, генерирани от AI
Приложенията, генерирани от асистентите на AI, често нямат основни заглавки за сигурност на HTTP, което не отговаря на съвременните стандарти за сигурност. Този пропуск прави уеб приложенията уязвими на обичайните атаки от страна на клиента. Чрез използване на бенчмаркове като Mozilla HTTP Observatory, разработчиците могат да идентифицират липсващи защити като CSP и HSTS, за да подобрят положението на сигурността на своите приложения.
Откриване и предотвратяване на уязвимости на междусайтови скриптове (XSS)
Cross-Site Scripting (XSS) възниква, когато приложение включва ненадеждни данни в уеб страница без подходящо валидиране или кодиране. Това позволява на атакуващите да изпълняват злонамерени скриптове в браузъра на жертвата, което води до отвличане на сесия, неразрешени действия и излагане на чувствителни данни.
LiteLLM прокси SQL инжектиране (CVE-2026-42208)
Критична уязвимост при инжектиране на SQL (CVE-2026-42208) в прокси компонента на LiteLLM позволява на атакуващите да заобиколят удостоверяването или да получат достъп до чувствителна информация от база данни, като използват процеса на проверка на ключ API.
Рискове за сигурността при Vibe кодиране: Одитиране на AI-генериран код
Възходът на „vibe кодирането“ – създаване на приложения предимно чрез бързи подкани AI – въвежда рискове като твърдо кодирани идентификационни данни и несигурни кодови модели. Тъй като моделите AI могат да предложат код, базиран на данни за обучение, съдържащи уязвимости, техният изход трябва да се третира като ненадежден и да се одитира с помощта на автоматизирани инструменти за сканиране, за да се предотврати излагането на данни.
JWT Сигурност: Рискове от незащитени токени и липсващо валидиране на искове
JSON уеб токените (JWT) предоставят стандарт за прехвърляне на искове, но сигурността разчита на стриктно валидиране. Неуспешната проверка на подписи, времена на изтичане или предвидени аудитории позволява на атакуващите да заобиколят удостоверяването или да възпроизвеждат токени.
Осигуряване на внедрявания на Vercel: Най-добри практики за защита и хедър
Това изследване изследва конфигурациите за сигурност за приложения, хоствани от Vercel, като се фокусира върху защитата на разполагане и персонализирани HTTP заглавки. Той обяснява как тези функции защитават среди за предварителен преглед и налагат политики за сигурност от страна на браузъра, за да предотвратят неоторизиран достъп и често срещани уеб атаки.
Инжектиране на критична ОС команда в LibreNMS (CVE-2024-51092)
Версиите на LibreNMS до 24.9.1 съдържат критична уязвимост при инжектиране на OS команда (CVE-2024-51092). Удостоверените нападатели могат да изпълняват произволни команди на хост системата, което потенциално води до пълен компромет на инфраструктурата за наблюдение.
LiteLLM SQL инжектиране в прокси API Проверка на ключ (CVE-2026-42208)
LiteLLM версии 1.81.16 до 1.83.6 съдържат критична уязвимост при инжектиране на SQL в логиката за проверка на ключа на прокси API. Този пропуск позволява на неупълномощени нападатели да заобиколят контролите за удостоверяване или да получат достъп до основната база данни. Проблемът е разрешен във версия 1.83.7.
Firebase Правила за сигурност: Предотвратяване на неоторизирано излагане на данни
Firebase Правилата за сигурност са основната защита за приложения без сървър, използващи Firestore и Cloud Storage. Когато тези правила са твърде разрешителни, като например разрешаване на глобален достъп за четене или запис в производството, атакуващите могат да заобиколят предвидената логика на приложението, за да откраднат или изтрият чувствителни данни. Това изследване изследва често срещаните неправилни конфигурации, рисковете от настройките по подразбиране на „тестов режим“ и как да се приложи контрол на достъпа, базиран на самоличност.
Защита на CSRF: Защита срещу неразрешени промени в състоянието
Фалшифицирането на междусайтови заявки (CSRF) остава значителна заплаха за уеб приложенията. Това изследване изследва как съвременните рамки като Django прилагат защита и как атрибутите на ниво браузър като SameSite осигуряват защита в дълбочина срещу неупълномощени заявки.
API Контролен списък за сигурност: 12 неща, които трябва да проверите, преди да стартирате на живо
API са гръбнакът на съвременните уеб приложения, но често им липсва строгостта на сигурността на традиционните интерфейси. Тази изследователска статия очертава основен контролен списък за защита на API, като се фокусира върху контрола на достъпа, ограничаването на скоростта и споделянето на ресурси между различни източници (CORS) за предотвратяване на пробиви на данни и злоупотреба с услуги.
API Изтичане на ключ: Рискове и коригиране в съвременните уеб приложения
Твърдо кодираните тайни в кода на интерфейса или хронологията на хранилището позволяват на атакуващите да се представят за услуги, да имат достъп до лични данни и да поемат разходи. Тази статия обхваща рисковете от изтичане на секрети и необходимите стъпки за почистване и предотвратяване.
CORS Неправилна конфигурация: Рискове от прекалено разрешителни политики
Споделянето на ресурси от кръстосан произход (CORS) е механизъм на браузър, предназначен да облекчи политиката за един и същи произход (SOP). Въпреки че е необходимо за съвременните уеб приложения, неправилното имплементиране – като повтаряне на заглавката Origin на рикуестъра или поставяне в белия списък на „нулевия“ произход – може да позволи на злонамерени сайтове да ексфилтрират частни потребителски данни.
Защита на MVP: Предотвратяване на изтичане на данни в SaaS приложения, генерирани от AI
Бързо разработените SaaS приложения често страдат от критични пропуски в сигурността. Това изследване изследва как изтеклите тайни и повредените контроли за достъп, като липсваща сигурност на ниво ред (RLS), създават силно въздействащи уязвимости в съвременните уеб стекове.