// riset kerentanan
Riset kerentanan untuk situs dan aplikasi yang dibangun dengan AI.
Catatan berbasis sumber tentang kerentanan yang penting untuk aplikasi web yang dihasilkan AI, tumpukan BaaS, bundel frontend, autentikasi, dan keamanan dependensi.
Injeksi SQL dalam Konten Hantu API (CVE-2026-26980)
Versi Ghost 3.24.0 hingga 6.19.0 berisi kerentanan injeksi SQL kritis di Konten API. Hal ini memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah SQL sewenang-wenang, yang berpotensi menyebabkan eksfiltrasi data atau modifikasi yang tidak sah.
Semua riset
34 artikel
Eksekusi Kode Jarak Jauh di SPIP melalui Tag Templat (CVE-2016-7998)
SPIP versi 3.1.2 dan yang lebih lama mengandung kerentanan pada pembuat template. Penyerang yang terautentikasi dapat mengunggah file HTML dengan tag INCLUDE atau INCLURE yang dibuat untuk mengeksekusi kode PHP arbitrer di server.
Pengungkapan Informasi Konfigurasi Apache ZoneMinder (CVE-2016-10140)
ZoneMinder versi 1.29 dan 1.30 dipengaruhi oleh kesalahan konfigurasi Apache HTTP Server yang dibundel. Cacat ini memungkinkan penyerang jarak jauh yang tidak diautentikasi menelusuri direktori root web, yang berpotensi menyebabkan pengungkapan informasi sensitif dan bypass autentikasi.
Next.js Kesalahan Konfigurasi Header Keamanan di next.config.js
Aplikasi Next.js yang menggunakan next.config.js untuk manajemen header rentan terhadap celah keamanan jika pola pencocokan jalur tidak tepat. Penelitian ini mengeksplorasi bagaimana kesalahan konfigurasi wildcard dan regex menyebabkan hilangnya header keamanan pada rute sensitif dan cara memperkeras konfigurasi.
Konfigurasi Header Keamanan Tidak Memadai
Aplikasi web sering kali gagal mengimplementasikan header keamanan penting, membuat pengguna terkena skrip lintas situs (XSS), clickjacking, dan injeksi data. Dengan mengikuti pedoman keamanan web yang telah ditetapkan dan menggunakan alat audit seperti MDN Observatory, pengembang dapat secara signifikan memperkuat aplikasi mereka terhadap serangan umum berbasis browser.
Mengurangi 10 Risiko Utama OWASP dalam Pengembangan Web yang Cepat
Peretas indie dan tim kecil sering kali menghadapi tantangan keamanan unik saat melakukan pengiriman dengan cepat, terutama dengan kode yang dihasilkan AI. Penelitian ini menyoroti risiko berulang dari kategori CWE Top 25 dan OWASP, termasuk kontrol akses yang rusak dan konfigurasi yang tidak aman, sehingga memberikan landasan untuk pemeriksaan keamanan otomatis.
Konfigurasi Header HTTP Tidak Aman di Aplikasi yang Dihasilkan AI
Aplikasi yang dihasilkan oleh asisten AI sering kali tidak memiliki header keamanan HTTP yang penting, sehingga gagal memenuhi standar keamanan modern. Kelalaian ini membuat aplikasi web rentan terhadap serangan umum sisi klien. Dengan memanfaatkan tolok ukur seperti Mozilla HTTP Observatory, pengembang dapat mengidentifikasi perlindungan yang hilang seperti CSP dan HSTS untuk meningkatkan postur keamanan aplikasi mereka.
Mendeteksi dan Mencegah Kerentanan Cross-Site Scripting (XSS)
Skrip Lintas Situs (XSS) terjadi ketika aplikasi menyertakan data yang tidak tepercaya di halaman web tanpa validasi atau pengkodean yang tepat. Hal ini memungkinkan penyerang untuk mengeksekusi skrip berbahaya di browser korban, yang menyebabkan pembajakan sesi, tindakan tidak sah, dan paparan data sensitif.
Injeksi SQL Proksi LiteLLM (CVE-2026-42208)
Kerentanan injeksi SQL kritis (CVE-2026-42208) di komponen proxy LiteLLM memungkinkan penyerang melewati otentikasi atau mengakses informasi database sensitif dengan mengeksploitasi proses verifikasi kunci API.
Risiko Keamanan Pengkodean Getaran: Mengaudit Kode yang Dihasilkan AI
Munculnya 'vibe coding'—membangun aplikasi terutama melalui perintah AI yang cepat—menimbulkan risiko seperti kredensial hardcode dan pola kode yang tidak aman. Karena model AI mungkin menyarankan kode berdasarkan data pelatihan yang mengandung kerentanan, keluarannya harus diperlakukan sebagai tidak tepercaya dan diaudit menggunakan alat pemindaian otomatis untuk mencegah paparan data.
Keamanan JWT: Risiko Token Tidak Aman dan Validasi Klaim Hilang
JSON Web Tokens (JWTs) memberikan standar untuk mentransfer klaim, namun keamanan bergantung pada validasi yang ketat. Kegagalan memverifikasi tanda tangan, waktu kedaluwarsa, atau audiens yang dituju memungkinkan penyerang melewati otentikasi atau memutar ulang token.
Mengamankan Penerapan Vercel: Praktik Terbaik Perlindungan dan Header
Penelitian ini mengeksplorasi konfigurasi keamanan untuk aplikasi yang dihosting Vercel, dengan fokus pada Deployment Protection dan header HTTP khusus. Panduan ini menjelaskan bagaimana fitur ini melindungi lingkungan pratinjau dan menerapkan kebijakan keamanan sisi browser untuk mencegah akses tidak sah dan serangan web umum.
Injeksi Perintah OS Kritis di LibreNMS (CVE-2024-51092)
Versi LibreNMS hingga 24.9.1 berisi kerentanan injeksi perintah OS yang penting (CVE-2024-51092). Penyerang yang terautentikasi dapat menjalankan perintah sewenang-wenang pada sistem host, yang berpotensi menyebabkan gangguan total pada infrastruktur pemantauan.
LiteLLM SQL Injection di Proxy API Verifikasi Kunci (CVE-2026-42208)
LiteLLM versi 1.81.16 hingga 1.83.6 berisi kerentanan injeksi SQL kritis dalam logika verifikasi kunci Proxy API. Cacat ini memungkinkan penyerang yang tidak diautentikasi untuk melewati kontrol otentikasi atau mengakses database yang mendasarinya. Masalah ini teratasi di versi 1.83.7.
Aturan Keamanan Firebase: Mencegah Paparan Data Tidak Sah
Aturan Keamanan Firebase adalah pertahanan utama untuk aplikasi tanpa server yang menggunakan Firestore dan Cloud Storage. Jika aturan ini terlalu permisif, seperti mengizinkan akses baca atau tulis global dalam produksi, penyerang dapat melewati logika aplikasi yang dimaksudkan untuk mencuri atau menghapus data sensitif. Penelitian ini mengeksplorasi kesalahan konfigurasi yang umum, risiko default 'mode pengujian', dan cara menerapkan kontrol akses berbasis identitas.
Perlindungan CSRF: Membela Terhadap Perubahan Negara yang Tidak Sah
Pemalsuan Permintaan Lintas Situs (CSRF) tetap menjadi ancaman signifikan terhadap aplikasi web. Penelitian ini mengeksplorasi bagaimana kerangka kerja modern seperti Django menerapkan perlindungan dan bagaimana atribut tingkat browser seperti SameSite menyediakan pertahanan mendalam terhadap permintaan tidak sah.
Daftar Periksa Keamanan API: 12 Hal yang Perlu Diperiksa Sebelum Ditayangkan
API adalah tulang punggung aplikasi web modern tetapi seringkali tidak memiliki keamanan yang ketat seperti frontend tradisional. Artikel penelitian ini menguraikan daftar periksa penting untuk mengamankan API, dengan fokus pada kontrol akses, pembatasan laju, dan pembagian sumber daya lintas asal (CORS) untuk mencegah pelanggaran data dan penyalahgunaan layanan.
Kebocoran Kunci API: Risiko dan Remediasi dalam Aplikasi Web Modern
Rahasia yang dikodekan dalam kode frontend atau riwayat repositori memungkinkan penyerang meniru identitas layanan, mengakses data pribadi, dan menimbulkan biaya. Artikel ini membahas risiko kebocoran rahasia dan langkah-langkah yang diperlukan untuk pembersihan dan pencegahan.
Kesalahan Konfigurasi CORS: Risiko Kebijakan yang Terlalu Permisif
Berbagi Sumber Daya Lintas Asal (CORS) adalah mekanisme browser yang dirancang untuk melonggarkan Kebijakan Asal yang Sama (SOP). Meskipun diperlukan untuk aplikasi web modern, penerapan yang tidak tepat—seperti mengulangi header Asal pemohon atau memasukkan asal 'null' ke dalam daftar putih—dapat memungkinkan situs jahat mengambil data pribadi pengguna.
Mengamankan MVP: Mencegah Kebocoran Data di Aplikasi SaaS yang Dihasilkan AI
Aplikasi SaaS yang berkembang pesat sering kali mengalami pengawasan keamanan yang kritis. Penelitian ini mengeksplorasi bagaimana rahasia yang bocor dan kontrol akses yang rusak, seperti Hilangnya Keamanan Tingkat Baris (RLS), menciptakan kerentanan berdampak tinggi di tumpukan web modern.