// výzkum zranitelností
Výzkum zranitelností pro weby a aplikace vytvořené pomocí AI.
Poznámky podložené zdroji o zranitelnostech důležitých pro webové aplikace generované AI, zásobníky BaaS, frontend bundly, autentizaci a zabezpečení závislostí.
SQL Injection v Ghost Content API (CVE-2026-26980)
Ghost verze 3.24.0 až 6.19.0 obsahují kritickou chybu zabezpečení vkládání SQL v obsahu API. To umožňuje neověřeným útočníkům spouštět libovolné příkazy SQL, což může vést k exfiltraci dat nebo neoprávněným úpravám.
Veškerý výzkum
34 článků
Vzdálené spouštění kódu ve SPIPu prostřednictvím značek šablon (CVE-2016-7998)
SPIP verze 3.1.2 a starší obsahují chybu zabezpečení ve skladateli šablon. Ověření útočníci mohou nahrávat soubory HTML s vytvořenými značkami INCLUDE nebo INCLURE, aby na serveru spustili libovolný PHP kód.
Zveřejnění konfiguračních informací ZoneMinder Apache (CVE-2016-10140)
ZoneMinder verze 1.29 a 1.30 jsou ovlivněny chybnou konfigurací serveru Apache HTTP Server. Tato chyba umožňuje vzdáleným neověřeným útočníkům procházet kořenový webový adresář, což může vést k vyzrazení citlivých informací a obejití ověřování.
Next.js Nesprávná konfigurace záhlaví zabezpečení v next.config.js
Aplikace Next.js používající next.config.js pro správu hlaviček jsou náchylné k bezpečnostním mezerám, pokud jsou vzory porovnávání cest nepřesné. Tento výzkum zkoumá, jak nesprávné konfigurace zástupných znaků a regulárních výrazů vedou k chybějícím hlavičkám zabezpečení na citlivých cestách a jak zpřísnit konfiguraci.
Neadekvátní konfigurace záhlaví zabezpečení
Webovým aplikacím se často nedaří implementovat základní bezpečnostní hlavičky, takže uživatelé jsou vystaveni skriptování mezi weby (XSS), clickjackingu a vkládání dat. Dodržováním zavedených pokynů pro webovou bezpečnost a používáním nástrojů pro audit, jako je MDN Observatory, mohou vývojáři výrazně posílit své aplikace proti běžným útokům založeným na prohlížeči.
Zmírnění OWASP 10 největších rizik při rychlém vývoji webu
Nezávislí hackeři a malé týmy často čelí jedinečným bezpečnostním problémům při rychlém odesílání, zejména s kódem generovaným AI. Tento výzkum zdůrazňuje opakující se rizika z kategorií CWE Top 25 a OWASP, včetně nefunkčního řízení přístupu a nezabezpečených konfigurací, což poskytuje základ pro automatizované bezpečnostní kontroly.
Nezabezpečené konfigurace záhlaví HTTP v aplikacích generovaných AI
Aplikace generované asistenty AI často postrádají základní bezpečnostní hlavičky HTTP a nesplňují moderní bezpečnostní standardy. Toto opomenutí ponechává webové aplikace zranitelné vůči běžným útokům na straně klienta. Využitím srovnávacích testů, jako je Mozilla HTTP Observatory, mohou vývojáři identifikovat chybějící ochrany, jako jsou CSP a HSTS, a zlepšit tak bezpečnost své aplikace.
Detekce a prevence chyb zabezpečení Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) nastává, když aplikace obsahuje nedůvěryhodná data na webové stránce bez řádného ověření nebo kódování. To umožňuje útočníkům spouštět škodlivé skripty v prohlížeči oběti, což vede k únosu relace, neoprávněným akcím a vystavení citlivých dat.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Kritická zranitelnost SQL injection (CVE-2026-42208) v proxy komponentě LiteLLM umožňuje útočníkům obejít autentizaci nebo získat přístup k citlivým databázovým informacím využitím procesu ověření klíče API.
Bezpečnostní rizika kódování Vibe: Audit AI-Generated Code
Vzestup „vibe kódování“ – vytváření aplikací primárně prostřednictvím rychlého dotazování AI – přináší rizika, jako jsou pevně zakódované přihlašovací údaje a nezabezpečené kódové vzory. Vzhledem k tomu, že modely AI mohou navrhovat kód založený na trénovacích datech obsahujících zranitelnosti, jejich výstup musí být považován za nedůvěryhodný a musí být auditován pomocí automatizovaných skenovacích nástrojů, aby se zabránilo vystavení dat.
Zabezpečení JWT: Rizika nezabezpečených tokenů a chybějící ověření nároku
Webové tokeny JSON (JWT) poskytují standard pro přenos nároků, ale zabezpečení závisí na přísném ověřování. Pokud se nepodaří ověřit podpisy, doby vypršení platnosti nebo zamýšlené cílové skupiny, útočníci mohou obejít autentizaci nebo přehrát tokeny.
Zabezpečení nasazení Vercel: Nejlepší postupy ochrany a záhlaví
Tento výzkum zkoumá konfigurace zabezpečení pro aplikace hostované Vercel se zaměřením na ochranu při nasazení a vlastní HTTP hlavičky. Vysvětluje, jak tyto funkce chrání prostředí náhledu a vynucují zásady zabezpečení na straně prohlížeče, aby se zabránilo neoprávněnému přístupu a běžným webovým útokům.
Vložení příkazu kritického OS v LibreNMS (CVE-2024-51092)
Verze LibreNMS až do 24.9.1 obsahují kritickou chybu zabezpečení vkládání příkazů OS (CVE-2024-51092). Ověření útočníci mohou na hostitelském systému provádět libovolné příkazy, což může vést k úplnému ohrožení infrastruktury monitorování.
LiteLLM SQL Injection v proxy Ověření klíče API (CVE-2026-42208)
LiteLLM verze 1.81.16 až 1.83.6 obsahují kritickou chybu zabezpečení vkládání SQL v logice ověření klíče proxy API. Tato chyba umožňuje neověřeným útočníkům obejít autentizační kontroly nebo získat přístup k podkladové databázi. Problém je vyřešen ve verzi 1.83.7.
Pravidla zabezpečení Firebase: Prevence neoprávněného vystavení dat
Pravidla zabezpečení Firebase jsou primární ochranou pro aplikace bez serveru využívající Firestore a Cloud Storage. Pokud jsou tato pravidla příliš tolerantní, jako je povolení globálního přístupu pro čtení nebo zápis v produkci, mohou útočníci obejít zamýšlenou aplikační logiku a ukrást nebo odstranit citlivá data. Tento výzkum zkoumá běžné nesprávné konfigurace, rizika výchozích hodnot „testovacího režimu“ a jak implementovat řízení přístupu na základě identity.
Ochrana CSRF: Obrana proti neoprávněným změnám stavu
Cross-Site Request Forgery (CSRF) zůstává významnou hrozbou pro webové aplikace. Tento výzkum zkoumá, jak moderní rámce, jako je Django, implementují ochranu a jak atributy na úrovni prohlížeče, jako je SameSite, poskytují hloubkovou ochranu proti neoprávněným požadavkům.
Kontrolní seznam zabezpečení API: 12 věcí, které je třeba zkontrolovat před spuštěním
API jsou páteří moderních webových aplikací, ale často postrádají bezpečnostní přísnost tradičních rozhraní. Tento výzkumný článek nastiňuje základní kontrolní seznam pro zabezpečení rozhraní API se zaměřením na řízení přístupu, omezení rychlosti a sdílení zdrojů mezi zdroji (CORS), aby se zabránilo narušení dat a zneužití služeb.
Klíčový únik API: Rizika a náprava v moderních webových aplikacích
Pevně zakódovaná tajemství v kódu frontendu nebo historii úložiště umožňují útočníkům vydávat se za služby, přistupovat k soukromým datům a vynakládat náklady. Tento článek se zabývá riziky úniku tajných informací a nezbytnými kroky pro vyčištění a prevenci.
CORS Nesprávná konfigurace: Rizika příliš tolerantních zásad
Cross-Origin Resource Sharing (CORS) je mechanismus prohlížeče určený k uvolnění zásad stejného původu (SOP). I když je to nezbytné pro moderní webové aplikace, nesprávná implementace – jako je opakování hlavičky Originu žadatele nebo zařazení „nulového“ původu na seznam povolených – může umožnit škodlivým webům proniknout do soukromých uživatelských dat.
Zabezpečení MVP: Prevence úniků dat v aplikacích SaaS generovaných AI
Rychle vyvíjené aplikace SaaS často trpí kritickými bezpečnostními dohledy. Tento výzkum zkoumá, jak uniklá tajemství a nefunkční ovládací prvky přístupu, jako je chybějící zabezpečení na úrovni řádků (RLS), vytvářejí zranitelnosti s velkým dopadem v moderních webových hromadách.