// מחקר חולשות
מחקר חולשות לאתרים ולאפליקציות שנבנו עם AI.
הערות מבוססות מקורות על חולשות הרלוונטיות לאפליקציות אינטרנט שנוצרו עם AI, מחסניות BaaS, חבילות פרונט-אנד, אימות ואבטחת תלויות.
הזרקת SQL בתוכן רפאים API (CVE-2026-26980)
גרסאות Ghost 3.24.0 עד 6.19.0 מכילות פגיעות קריטית של הזרקת SQL בתוכן API. זה מאפשר לתוקפים לא מאומתים לבצע פקודות SQL שרירותיות, שעלולות להוביל לסילוק נתונים או שינויים לא מורשים.
כל המחקר
34 מאמרים
ביצוע קוד מרחוק ב-SPIP באמצעות תגיות תבנית (CVE-2016-7998)
גרסאות SPIP 3.1.2 ואילך מכילות פגיעות ביוצר התבנית. תוקפים מאומתים יכולים להעלות קבצי HTML עם תגיות INCLUDE או INCLURE מעוצבות כדי להפעיל קוד PHP שרירותי בשרת.
גילוי מידע על תצורת ZoneMinder Apache (CVE-2016-10140)
גרסאות ZoneMinder 1.29 ו-1.30 מושפעות מתצורה שגויה של Apache HTTP Server. פגם זה מאפשר לתוקפים מרוחקים ולא מאומתים לגלוש בספריית השורש של האינטרנט, דבר שעלול להוביל לחשיפת מידע רגיש ולעקוף אימות.
Next.js תצורה שגויה של כותרת אבטחה ב-next.config.js
יישומי Next.js המשתמשים ב-next.config.js לניהול כותרות רגישים לפערי אבטחה אם דפוסי התאמת נתיבים אינם מדויקים. מחקר זה בוחן כיצד תצורות שגויות של תווים כלליים ו-regex מובילים לכותרות אבטחה חסרות בנתיבים רגישים וכיצד להקשיח את התצורה.
תצורת כותרת אבטחה לא מספקת
לעתים קרובות יישומי אינטרנט אינם מצליחים ליישם כותרות אבטחה חיוניות, מה שמותיר את המשתמשים חשופים לסקריפטים בין-אתרים (XSS), חטיפת קליקים והזרקת נתונים. על ידי שמירה על הנחיות אבטחת אינטרנט מבוססות ושימוש בכלי ביקורת כמו מצפה הכוכבים של MDN, מפתחים יכולים להקשיח משמעותית את היישומים שלהם מפני התקפות נפוצות מבוססות דפדפן.
הפחתת OWASP 10 הסיכונים המובילים בפיתוח אינטרנט מהיר
האקרים אינדי וצוותים קטנים מתמודדים לעתים קרובות עם אתגרי אבטחה ייחודיים בעת משלוח מהיר, במיוחד עם קוד שנוצר על ידי AI. מחקר זה מדגיש סיכונים חוזרים מקטגוריות CWE Top 25 ו-OWASP, כולל בקרת גישה שבור ותצורות לא מאובטחות, מה שמספק בסיס לבדיקות אבטחה אוטומטיות.
תצורות כותרות HTTP לא מאובטחות ביישומים שנוצרו על ידי AI
יישומים שנוצרו על ידי עוזרי AI חסרים לעתים קרובות כותרות אבטחה חיוניות של HTTP, ולא עומדות בתקני אבטחה מודרניים. השמטה זו משאירה יישומי אינטרנט חשופים להתקפות נפוצות בצד הלקוח. על ידי שימוש באמות מידה כמו Mozilla HTTP Observatory, מפתחים יכולים לזהות הגנות חסרות כגון CSP ו-HSTS כדי לשפר את עמדת האבטחה של האפליקציה שלהם.
זיהוי ומניעה של סקריפטים חוצי אתרים (XSS) פגיעויות
סקריפטים חוצי אתרים (XSS) מתרחשת כאשר יישום כולל נתונים לא מהימנים בדף אינטרנט ללא אימות או קידוד נאותים. זה מאפשר לתוקפים לבצע סקריפטים זדוניים בדפדפן של הקורבן, מה שמוביל לחטיפת הפעלה, פעולות לא מורשות וחשיפה לנתונים רגישים.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
פגיעות קריטית של הזרקת SQL (CVE-2026-42208) ברכיב ה-proxy של LiteLLM מאפשרת לתוקפים לעקוף אימות או לגשת למידע רגיש של מסד נתונים על ידי ניצול תהליך אימות מפתח API.
סיכוני אבטחה של קידוד Vibe: ביקורת קוד שנוצר על ידי AI
העלייה של 'קידוד אווירה' - בניית יישומים בעיקר באמצעות הנחיה מהירה של AI - מציגה סיכונים כגון אישורים מקודדים ודפוסי קוד לא מאובטחים. מכיוון שמודלים של AI עשויים להציע קוד המבוסס על נתוני אימון המכילים נקודות תורפה, יש להתייחס לפלט שלהם כבלתי מהימן ולבדוק באמצעות כלי סריקה אוטומטיים כדי למנוע חשיפת נתונים.
אבטחה JWT: סיכונים של אסימונים לא מאובטחים ואימות תביעה חסר
JSON Web Tokens (JWTs) מספקים תקן להעברת תביעות, אך האבטחה מסתמכת על אימות קפדני. אי אימות חתימות, זמני תפוגה או קהלים מיועדים מאפשר לתוקפים לעקוף את האימות או להפעיל מחדש אסימונים.
אבטחת פריסות Vercel: שיטות מומלצות להגנה ולכותרת
מחקר זה בוחן תצורות אבטחה עבור יישומים המתארחים ב-Vercel, תוך התמקדות בהגנה על פריסה וכותרות HTTP מותאמות אישית. הוא מסביר כיצד תכונות אלו מגנות על סביבות תצוגה מקדימה ואוכפות מדיניות אבטחה בצד הדפדפן כדי למנוע גישה לא מורשית והתקפות אינטרנט נפוצות.
הזרקת פקודת מערכת הפעלה קריטית ב-LibreNMS (CVE-2024-51092)
גרסאות LibreNMS עד 24.9.1 מכילות פגיעות קריטית של הזרקת פקודות מערכת ההפעלה (CVE-2024-51092). תוקפים מאומתים יכולים לבצע פקודות שרירותיות במערכת המארחת, מה שעלול להוביל לפגיעה מוחלטת בתשתית הניטור.
LiteLLM SQL Injection ב-Proxy API אימות מפתח (CVE-2026-42208)
LiteLLM גרסאות 1.81.16 עד 1.83.6 מכילות פגיעות קריטית של הזרקת SQL בלוגיקת האימות של מפתח Proxy API. פגם זה מאפשר לתוקפים לא מאומתים לעקוף את בקרות האימות או לגשת למסד הנתונים הבסיסי. הבעיה נפתרה בגרסה 1.83.7.
Firebase כללי אבטחה: מניעת חשיפת נתונים לא מורשית
Firebase כללי אבטחה הם ההגנה העיקרית עבור יישומים ללא שרת המשתמשים ב-Firestore וב-Cloud Storage. כאשר הכללים הללו מתירנים מדי, כגון מתן גישה גלובלית לקריאה או כתיבה בייצור, התוקפים יכולים לעקוף את היגיון היישום המיועד כדי לגנוב או למחוק נתונים רגישים. מחקר זה בוחן תצורות שגויות נפוצות, את הסיכונים של ברירות מחדל של 'מצב בדיקה' וכיצד ליישם בקרת גישה מבוססת זהות.
הגנת CSRF: הגנה מפני שינויים לא מורשים במדינה
זיוף בקשות חוצה אתרים (CSRF) נותר איום משמעותי על יישומי אינטרנט. מחקר זה בוחן כיצד מסגרות מודרניות כמו Django מיישמות הגנה וכיצד תכונות ברמת הדפדפן כמו SameSite מספקות הגנה מעמיקה מפני בקשות לא מורשות.
API רשימת רשימת אבטחה: 12 דברים שכדאי לבדוק לפני שעולים לאוויר
ממשקי API הם עמוד השדרה של יישומי אינטרנט מודרניים, אך לרוב חסרים להם קפדנות האבטחה של חזיתות מסורתיות. מאמר מחקר זה מתאר רשימה חיונית לאבטחת ממשקי API, תוך התמקדות בבקרת גישה, הגבלת קצב ושיתוף משאבים חוצי מקורות (CORS) כדי למנוע הפרות נתונים וניצול לרעה של שירותים.
API זליגת מפתח: סיכונים ותיקון באפליקציות אינטרנט מודרניות
סודות מקודדים בקוד הקצה או בהיסטוריית המאגר מאפשרים לתוקפים להתחזות לשירותים, לגשת לנתונים פרטיים ולעלות בעלויות. מאמר זה מכסה את הסיכונים של דליפה סודית ואת הצעדים הדרושים לניקוי ומניעה.
CORS תצורה שגויה: סיכונים של מדיניות מתירנית מדי
שיתוף משאבים חוצה מקור (CORS) הוא מנגנון דפדפן שנועד להרגיע את מדיניות אותו מקור (SOP). אמנם הכרחי עבור אפליקציות אינטרנט מודרניות, אך יישום לא תקין - כגון הדהוד של כותרת המקור של המבקש או רישום היתרים של המקור 'null' - עלול לאפשר לאתרים זדוניים לחלץ נתוני משתמשים פרטיים.
אבטחת ה-MVP: מניעת דליפות נתונים באפליקציות SaaS שנוצרו על ידי AI
יישומי SaaS שפותחו במהירות סובלים לעתים קרובות מפיקוח אבטחה קריטי. מחקר זה בוחן כיצד סודות שדלפו ובקרות גישה שבורות, כמו אבטחת רמת שורה חסרה (RLS), יוצרים פגיעויות בעלות השפעה רבה בערימות אינטרנט מודרניות.