// sårbarhedsforskning
Sårbarhedsforskning for AI-byggede websteder og apps.
Kildebaserede noter om sårbarheder, der betyder noget for AI-genererede webapps, BaaS-stakke, frontendbundter, godkendelse og afhængighedssikkerhed.
SQL-injektion i spøgelsesindhold API (CVE-2026-26980)
Ghost-versioner 3.24.0 til 6.19.0 indeholder en kritisk SQL-injektionssårbarhed i Content API. Dette giver uautoriserede angribere mulighed for at udføre vilkårlige SQL-kommandoer, hvilket potentielt kan føre til dataeksfiltrering eller uautoriserede ændringer.
Al research
34 artikler
Fjernudførelse af kode i SPIP via skabelontags (CVE-2016-7998)
SPIP version 3.1.2 og tidligere indeholder en sårbarhed i skabelonkomponisten. Godkendte angribere kan uploade HTML-filer med udformede INCLUDE- eller INCLURE-tags for at udføre vilkårlig PHP-kode på serveren.
ZoneMinder Apache Configuration Information Disclosure (CVE-2016-10140)
ZoneMinder version 1.29 og 1.30 er påvirket af en medfølgende Apache HTTP Server fejlkonfiguration. Denne fejl gør det muligt for eksterne, uautoriserede angribere at gennemse webrodbiblioteket, hvilket potentielt kan føre til offentliggørelse af følsomme oplysninger og omgåelse af autentificering.
Next.js Fejlkonfiguration af sikkerhedsheader i next.config.js
Next.js-applikationer, der bruger next.config.js til header-styring, er modtagelige for sikkerhedshuller, hvis sti-matchende mønstre er upræcise. Denne forskning undersøger, hvordan jokertegn og regex-fejlkonfigurationer fører til manglende sikkerhedsheadere på følsomme ruter, og hvordan man hærder konfigurationen.
Utilstrækkelig sikkerhedsheaderkonfiguration
Webapplikationer formår ofte ikke at implementere væsentlige sikkerhedsheaders, hvilket efterlader brugere udsat for cross-site scripting (XSS), clickjacking og datainjektion. Ved at følge etablerede retningslinjer for websikkerhed og bruge revisionsværktøjer som MDN Observatory, kan udviklere hærde deres applikationer betydeligt mod almindelige browserbaserede angreb.
Afbødning af OWASP Top 10 risici i hurtig webudvikling
Indie-hackere og små teams står ofte over for unikke sikkerhedsudfordringer, når de sender hurtigt, især med AI-genereret kode. Denne forskning fremhæver tilbagevendende risici fra CWE Top 25- og OWASP-kategorierne, herunder brudt adgangskontrol og usikre konfigurationer, hvilket giver grundlaget for automatiserede sikkerhedstjek.
Usikre HTTP-header-konfigurationer i AI-genererede applikationer
Applikationer genereret af AI-assistenter mangler ofte essentielle HTTP-sikkerhedsheadere, da de ikke opfylder moderne sikkerhedsstandarder. Denne udeladelse efterlader webapplikationer sårbare over for almindelige klientsideangreb. Ved at bruge benchmarks som Mozilla HTTP Observatory kan udviklere identificere manglende beskyttelser såsom CSP og HSTS for at forbedre deres applikations sikkerhedsposition.
Registrering og forebyggelse af cross-site scripting (XSS) sårbarheder
Cross-Site Scripting (XSS) opstår, når en applikation inkluderer ikke-pålidelige data på en webside uden korrekt validering eller kodning. Dette giver angribere mulighed for at udføre ondsindede scripts i offerets browser, hvilket fører til sessionskapring, uautoriserede handlinger og eksponering af følsomme data.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
En kritisk SQL-injektionssårbarhed (CVE-2026-42208) i LiteLLM's proxy-komponent gør det muligt for angribere at omgå godkendelse eller få adgang til følsom databaseinformation ved at udnytte API-nøglebekræftelsesprocessen.
Sikkerhedsrisici ved Vibe-kodning: Revision af AI-genereret kode
Fremkomsten af 'vibe-kodning' – opbygning af applikationer primært gennem hurtig AI-prompt – introducerer risici såsom hårdkodede legitimationsoplysninger og usikre kodemønstre. Fordi AI-modeller kan foreslå kode baseret på træningsdata, der indeholder sårbarheder, skal deres output behandles som upålidelige og revideres ved hjælp af automatiserede scanningsværktøjer for at forhindre dataeksponering.
JWT Sikkerhed: Risici for usikrede tokens og manglende kravvalidering
JSON Web Tokens (JWT'er) giver en standard for overførsel af krav, men sikkerhed er afhængig af streng validering. Manglende bekræftelse af signaturer, udløbstider eller påtænkte målgrupper giver angribere mulighed for at omgå godkendelse eller genafspille tokens.
Sikring af Vercel-implementeringer: Best Practices for beskyttelse og header
Denne forskning udforsker sikkerhedskonfigurationer for Vercel-hostede applikationer med fokus på Deployment Protection og tilpassede HTTP-headere. Det forklarer, hvordan disse funktioner beskytter forhåndsvisningsmiljøer og håndhæver sikkerhedspolitikker på browsersiden for at forhindre uautoriseret adgang og almindelige webangreb.
Kritisk OS Command Injection i LibreNMS (CVE-2024-51092)
LibreNMS-versioner op til 24.9.1 indeholder en kritisk OS-kommandeinjektionssårbarhed (CVE-2024-51092). Autentificerede angribere kan udføre vilkårlige kommandoer på værtssystemet, hvilket potentielt kan føre til total kompromittering af overvågningsinfrastrukturen.
LiteLLM SQL-injektion i proxy API nøglebekræftelse (CVE-2026-42208)
LiteLLM versioner 1.81.16 til 1.83.6 indeholder en kritisk SQL-injektionssårbarhed i Proxy API nøgleverifikationslogikken. Denne fejl gør det muligt for uautoriserede angribere at omgå godkendelseskontroller eller få adgang til den underliggende database. Problemet er løst i version 1.83.7.
Firebase Sikkerhedsregler: Forhindring af uautoriseret dataeksponering
Firebase Sikkerhedsregler er det primære forsvar for serverløse applikationer, der bruger Firestore og Cloud Storage. Når disse regler er for eftergivende, såsom at tillade global læse- eller skriveadgang i produktionen, kan angribere omgå tilsigtet applikationslogik for at stjæle eller slette følsomme data. Denne forskning udforsker almindelige fejlkonfigurationer, risiciene ved "testtilstand"-standarder og hvordan man implementerer identitetsbaseret adgangskontrol.
CSRF-beskyttelse: Forsvar mod uautoriserede tilstandsændringer
Cross-Site Request Forgery (CSRF) er fortsat en væsentlig trussel mod webapplikationer. Denne forskning undersøger, hvordan moderne rammer som Django implementerer beskyttelse, og hvordan attributter på browserniveau som SameSite giver et dybtgående forsvar mod uautoriserede anmodninger.
API Sikkerhedstjekliste: 12 ting at tjekke, før du går live
API'er er rygraden i moderne webapplikationer, men mangler ofte sikkerhedskravene til traditionelle frontends. Denne forskningsartikel skitserer en vigtig tjekliste til sikring af API'er med fokus på adgangskontrol, hastighedsbegrænsning og deling af ressourcer på tværs af oprindelse (CORS) for at forhindre databrud og misbrug af tjenester.
API Nøglelækage: Risici og afhjælpning i moderne webapps
Hårdkodede hemmeligheder i frontend-kode eller lagerhistorik gør det muligt for angribere at efterligne tjenester, få adgang til private data og pådrage sig omkostninger. Denne artikel dækker risikoen for hemmelig lækage og de nødvendige skridt til oprydning og forebyggelse.
CORS Fejlkonfiguration: Risici for alt for tilladelige politikker
Cross-Origin Resource Sharing (CORS) er en browsermekanisme designet til at slække på Same-Origin Policy (SOP). Selvom det er nødvendigt for moderne webapps, kan forkert implementering – såsom at ekko anmoderens Origin-header eller hvidliste 'null'-oprindelsen – tillade ondsindede websteder at udslette private brugerdata.
Sikring af MVP: Forebyggelse af datalækager i AI-genererede SaaS-apps
Hurtigt udviklede SaaS-applikationer lider ofte under kritiske sikkerhedsforstyrrelser. Denne forskning undersøger, hvordan lækkede hemmeligheder og ødelagte adgangskontroller, såsom manglende Row Level Security (RLS), skaber sårbarheder med stor indvirkning i moderne webstakke.