// schwachstellenforschung
Schwachstellenforschung für KI-gestützte Websites und Apps.
Quellengestützte Notizen zu Schwachstellen, die für KI-generierte Web-Apps, BaaS-Stacks, Frontend-Bundles, Authentifizierung und Abhängigkeitssicherheit relevant sind.
SQL-Injection in Ghost-Inhalt API (CVE-2026-26980)
Die Ghost-Versionen 3.24.0 bis 6.19.0 enthalten eine kritische SQL-Injection-Schwachstelle im Inhalt API. Dadurch können nicht authentifizierte Angreifer beliebige SQL-Befehle ausführen, was möglicherweise zu Datenexfiltration oder nicht autorisierten Änderungen führt.
Gesamte Forschung
34 Artikel
Remote-Codeausführung in SPIP über Template-Tags (CVE-2016-7998)
SPIP-Versionen 3.1.2 und früher enthalten eine Schwachstelle im Template Composer. Authentifizierte Angreifer können HTML-Dateien mit manipulierten INCLUDE- oder INCLURE-Tags hochladen, um beliebigen PHP-Code auf dem Server auszuführen.
Offenlegung von ZoneMinder-Apache-Konfigurationsinformationen (CVE-2016-10140)
Die ZoneMinder-Versionen 1.29 und 1.30 sind von einer gebündelten Fehlkonfiguration des Apache HTTP Servers betroffen. Dieser Fehler ermöglicht es entfernten, nicht authentifizierten Angreifern, das Web-Stammverzeichnis zu durchsuchen, was möglicherweise zur Offenlegung sensibler Informationen und zur Umgehung der Authentifizierung führt.
Next.js Sicherheitsheader-Fehlkonfiguration in next.config.js
Next.js-Anwendungen, die next.config.js für die Header-Verwaltung verwenden, sind anfällig für Sicherheitslücken, wenn Pfadvergleichsmuster ungenau sind. Diese Untersuchung untersucht, wie Wildcard- und Regex-Fehlkonfigurationen zu fehlenden Sicherheitsheadern auf sensiblen Routen führen und wie die Konfiguration gehärtet werden kann.
Unzureichende Sicherheits-Header-Konfiguration
Webanwendungen implementieren häufig wichtige Sicherheitsheader nicht, sodass Benutzer Cross-Site-Scripting (XSS), Clickjacking und Dateninjektion ausgesetzt sind. Durch die Befolgung etablierter Web-Sicherheitsrichtlinien und den Einsatz von Prüftools wie dem MDN Observatory können Entwickler ihre Anwendungen erheblich gegen gängige browserbasierte Angriffe absichern.
OWASP Minimierung der zehn größten Risiken bei der schnellen Webentwicklung
Indie-Hacker und kleine Teams stehen bei der schnellen Auslieferung oft vor besonderen Sicherheitsherausforderungen, insbesondere bei AI-generiertem Code. Diese Untersuchung beleuchtet wiederkehrende Risiken aus den Kategorien CWE Top 25 und OWASP, einschließlich fehlerhafter Zugriffskontrolle und unsicherer Konfigurationen, und bietet eine Grundlage für automatisierte Sicherheitsprüfungen.
Unsichere HTTP-Header-Konfigurationen in von AI generierten Anwendungen
Von AI-Assistenten generierte Anwendungen weisen häufig keine wesentlichen HTTP-Sicherheitsheader auf und erfüllen daher nicht die modernen Sicherheitsstandards. Dieses Versäumnis macht Webanwendungen anfällig für häufige clientseitige Angriffe. Mithilfe von Benchmarks wie dem Mozilla HTTP Observatory können Entwickler fehlende Schutzmaßnahmen wie CSP und HSTS identifizieren und so die Sicherheitslage ihrer Anwendung verbessern.
Erkennen und Verhindern von Cross-Site-Scripting-Schwachstellen (XSS).
Cross-Site Scripting (XSS) tritt auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Codierung in eine Webseite einfügt. Dadurch können Angreifer bösartige Skripte im Browser des Opfers ausführen, was zu Sitzungs-Hijacking, unbefugten Aktionen und der Offenlegung sensibler Daten führt.
LiteLLM-Proxy-SQL-Injection (CVE-2026-42208)
Eine kritische SQL-Injection-Schwachstelle (CVE-2026-42208) in der Proxy-Komponente von LiteLLM ermöglicht es Angreifern, die Authentifizierung zu umgehen oder auf vertrauliche Datenbankinformationen zuzugreifen, indem sie den API-Schlüsselüberprüfungsprozess ausnutzen.
Sicherheitsrisiken der Vibe-Codierung: Prüfung des von AI generierten Codes
Der Aufstieg der „Vibe-Codierung“ – das Erstellen von Anwendungen hauptsächlich durch schnelle AI-Eingabeaufforderungen – bringt Risiken wie fest codierte Anmeldeinformationen und unsichere Codemuster mit sich. Da AI-Modelle möglicherweise Code vorschlagen, der auf Trainingsdaten basiert, die Schwachstellen enthalten, muss ihre Ausgabe als nicht vertrauenswürdig behandelt und mithilfe automatisierter Scan-Tools überprüft werden, um eine Offenlegung der Daten zu verhindern.
JWT Sicherheit: Risiken ungesicherter Token und fehlender Anspruchsvalidierung
JSON-Web-Tokens (JWTs) bieten einen Standard für die Übertragung von Ansprüchen, die Sicherheit hängt jedoch von einer strengen Validierung ab. Wenn Signaturen, Ablaufzeiten oder vorgesehene Zielgruppen nicht überprüft werden, können Angreifer Authentifizierungs- oder Replay-Tokens umgehen.
Sichern von Vercel-Bereitstellungen: Best Practices für Schutz und Header
This research explores security configurations for Vercel-hosted applications, focusing on Deployment Protection and custom HTTP headers. It explains how these features protect preview environments and enforce browser-side security policies to prevent unauthorized access and common web attacks.
Kritische Betriebssystembefehlsinjektion in LibreNMS (CVE-2024-51092)
LibreNMS-Versionen bis 24.9.1 enthalten eine kritische Schwachstelle bezüglich der Befehlseinschleusung des Betriebssystems (CVE-2024-51092). Authentifizierte Angreifer können beliebige Befehle auf dem Hostsystem ausführen, was möglicherweise zu einer vollständigen Kompromittierung der Überwachungsinfrastruktur führt.
LiteLLM SQL-Injection im Proxy API Schlüsselüberprüfung (CVE-2026-42208)
Die LiteLLM-Versionen 1.81.16 bis 1.83.6 enthalten eine kritische SQL-Injection-Schwachstelle in der Proxy-Schlüsselüberprüfungslogik API. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, Authentifizierungskontrollen zu umgehen oder auf die zugrunde liegende Datenbank zuzugreifen. Das Problem wurde in Version 1.83.7 behoben.
Firebase Sicherheitsregeln: Verhindern der unbefugten Offenlegung von Daten
Firebase Sicherheitsregeln sind der primäre Schutz für serverlose Anwendungen, die Firestore und Cloud Storage verwenden. Wenn diese Regeln zu freizügig sind, beispielsweise wenn in der Produktion globaler Lese- oder Schreibzugriff zugelassen wird, können Angreifer die vorgesehene Anwendungslogik umgehen, um vertrauliche Daten zu stehlen oder zu löschen. Diese Untersuchung untersucht häufige Fehlkonfigurationen, die Risiken von Standardeinstellungen im „Testmodus“ und die Implementierung einer identitätsbasierten Zugriffskontrolle.
CSRF-Schutz: Abwehr unbefugter Zustandsänderungen
Cross-Site Request Forgery (CSRF) bleibt eine erhebliche Bedrohung für Webanwendungen. In dieser Studie wird untersucht, wie moderne Frameworks wie Django Schutz implementieren und wie Attribute auf Browserebene wie SameSite einen umfassenden Schutz vor unbefugten Anfragen bieten.
API Sicherheitscheckliste: 12 Dinge, die Sie vor der Inbetriebnahme überprüfen sollten
APIs sind das Rückgrat moderner Webanwendungen, verfügen jedoch häufig nicht über die Sicherheitsanforderungen traditioneller Frontends. In diesem Forschungsartikel wird eine wichtige Checkliste für die Sicherung von APIs beschrieben, wobei der Schwerpunkt auf Zugriffskontrolle, Ratenbegrenzung und ursprungsübergreifender Ressourcenfreigabe (CORS) liegt, um Datenschutzverletzungen und Dienstmissbrauch zu verhindern.
API Schlüsselleck: Risiken und Behebung in modernen Web-Apps
Fest codierte Geheimnisse im Frontend-Code oder im Repository-Verlauf ermöglichen es Angreifern, sich als Dienste auszugeben, auf private Daten zuzugreifen und Kosten zu verursachen. In diesem Artikel werden die Risiken des Geheimnislecks sowie die notwendigen Schritte zur Bereinigung und Vorbeugung behandelt.
CORS Fehlkonfiguration: Risiken übermäßig freizügiger Richtlinien
Cross-Origin Resource Sharing (CORS) ist ein Browsermechanismus zur Lockerung der Same-Origin Policy (SOP). Auch wenn dies für moderne Web-Apps notwendig ist, kann eine unsachgemäße Implementierung – etwa das Echo des Origin-Headers des Anforderers oder die Whitelist des „Null“-Ursprungs – dazu führen, dass böswillige Websites private Benutzerdaten herausfiltern.
Sicherung des MVP: Verhinderung von Datenlecks in AI-generierten SaaS-Apps
Schnell entwickelte SaaS-Anwendungen unterliegen häufig kritischen Sicherheitslücken. Diese Forschung untersucht, wie durchgesickerte Geheimnisse und fehlerhafte Zugriffskontrollen, wie z. B. fehlende Sicherheit auf Zeilenebene (RLS), schwerwiegende Schwachstellen in modernen Web-Stacks verursachen.