// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL innspýting í draugaefni API (CVE-2026-26980)
Draugaútgáfur 3.24.0 til og með 6.19.0 innihalda mikilvægan varnarleysi fyrir SQL innspýting í Content API. Þetta gerir óvottaðum árásarmönnum kleift að framkvæma handahófskenndar SQL skipanir, sem gætu leitt til útskúfunar gagna eða óviðkomandi breytinga.
Allar rannsóknir
34 articles
Fjarframkvæmd kóða í SPIP með sniðmátsmerkjum (CVE-2016-7998)
SPIP útgáfur 3.1.2 og eldri innihalda varnarleysi í sniðmátsgerðinni. Sannvottaðir árásarmenn geta hlaðið upp HTML skrám með tilbúnum INCLUDE eða INCLURE merkjum til að keyra handahófskenndan PHP kóða á þjóninum.
Upplýsingar um ZoneMinder Apache stillingar (CVE-2016-10140)
ZoneMinder útgáfur 1.29 og 1.30 verða fyrir áhrifum af vöntuðum Apache HTTP Server rangstillingum. Þessi galli gerir fjarlægum, óvottaðri árásarmönnum kleift að vafra um rótarskrána á vefnum, sem getur hugsanlega leitt til birtingar viðkvæmra upplýsinga og framhjáhalds hjá auðkenningu.
Next.js Misstillingar öryggishaus í next.config.js
Next.js forrit sem nota next.config.js fyrir hausstjórnun eru næm fyrir öryggiseyðum ef slóðamynstur eru ónákvæm. Þessi rannsókn kannar hvernig rangstillingar með algildisspjöldum og regex aðferðum leiða til vantar öryggishausa á viðkvæmum leiðum og hvernig á að herða stillingarnar.
Ófullnægjandi uppsetning öryggishaus
Vefforrit tekst oft ekki að innleiða nauðsynlega öryggishausa, sem gerir notendur útsetta fyrir forskriftum á milli vefsvæða (XSS), clickjacking og gagnainnspýtingu. Með því að fylgja viðurkenndum leiðbeiningum um netöryggi og nota endurskoðunartæki eins og MDN Observatory, geta verktaki hert forritin sín verulega gegn algengum vafratengdum árásum.
Að draga úr OWASP Top 10 áhættur í hraðri vefþróun
Indie tölvuþrjótar og lítil teymi standa oft frammi fyrir einstökum öryggisáskorunum þegar sendar eru hratt, sérstaklega með AI-mynduðum kóða. Þessi rannsókn varpar ljósi á endurteknar áhættur frá CWE Top 25 og OWASP flokkunum, þar á meðal bilaða aðgangsstýringu og óöruggar stillingar, sem gefur grunn fyrir sjálfvirkt öryggiseftirlit.
Óöruggar HTTP hausstillingar í AI-mynduðum forritum
Forrit sem eru búin til af AI aðstoðarmönnum skortir oft nauðsynlega HTTP öryggishausa, sem uppfyllir ekki nútíma öryggisstaðla. Þessi aðgerðaleysi gerir vefforrit viðkvæm fyrir algengum árásum viðskiptavinarhliðar. Með því að nota viðmið eins og Mozilla HTTP Observatory geta verktaki greint vantar vernd eins og CSP og HSTS til að bæta öryggisstöðu forritsins.
Að greina og koma í veg fyrir forskriftir á milli vefsvæða (XSS) veikleika
Cross-Site Scripting (XSS) á sér stað þegar forrit inniheldur ótraust gögn á vefsíðu án viðeigandi staðfestingar eða kóðun. Þetta gerir árásarmönnum kleift að keyra illgjarn forskrift í vafra fórnarlambsins, sem leiðir til ræningja, óleyfilegra aðgerða og útsetningar fyrir viðkvæmum gögnum.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Mikilvægur varnarleysi í SQL innspýtingu (CVE-2026-42208) í proxy-hluta LiteLLM gerir árásarmönnum kleift að komast framhjá auðkenningu eða fá aðgang að viðkvæmum gagnagrunnsupplýsingum með því að nýta API lyklastaðfestingarferlið.
Öryggisáhætta af Vibe-kóðun: Endurskoðun AI-myndaður kóða
Uppgangur „vibe kóðun“ - að byggja upp forrit fyrst og fremst með hröðum AI hvetjum - kynnir áhættu eins og harðkóðun skilríki og óörugg kóðamynstur. Vegna þess að AI líkön gætu stungið upp á kóða sem byggir á þjálfunargögnum sem innihalda veikleika, verður að meðhöndla úttak þeirra sem ótraust og endurskoðað með því að nota sjálfvirk skannaverkfæri til að koma í veg fyrir að gögn séu útsett.
JWT Öryggi: Áhætta af ótryggðum táknum og týndu kröfustaðfestingu
JSON Web Tokens (JWTs) veita staðal til að flytja kröfur, en öryggi byggir á ströngu staðfestingu. Misbrestur á að staðfesta undirskriftir, gildistíma eða ætlaða áhorfendur gerir árásarmönnum kleift að komast framhjá auðkenningu eða endurspila tákn.
Að tryggja Vercel dreifingu: Bestu starfshættir fyrir vernd og haus
Þessi rannsókn kannar öryggisstillingar fyrir Vercel hýst forrit, með áherslu á dreifingarvernd og sérsniðna HTTP hausa. Það útskýrir hvernig þessir eiginleikar vernda forskoðunarumhverfi og framfylgja öryggisstefnu vafra til að koma í veg fyrir óviðkomandi aðgang og algengar vefárásir.
Critical OS Command Injection í LibreNMS (CVE-2024-51092)
LibreNMS útgáfur allt að 24.9.1 innihalda mikilvægan varnarleysi fyrir innspýting stjórnkerfisskipana (CVE-2024-51092). Sannvottaðir árásarmenn geta framkvæmt handahófskenndar skipanir á hýsingarkerfinu, sem gæti leitt til algjörrar málamiðlunar á vöktunarinnviðum.
LiteLLM SQL innspýting í Proxy API Staðfesting lykla (CVE-2026-42208)
LiteLLM útgáfur 1.81.16 til 1.83.6 innihalda mikilvægan SQL innspýting varnarleysi í Proxy API lykilstaðfestingarrökfræðinni. Þessi galli gerir óvottaðum árásarmönnum kleift að komast framhjá auðkenningarstýringum eða fá aðgang að undirliggjandi gagnagrunni. Málið er leyst í útgáfu 1.83.7.
Firebase Öryggisreglur: Koma í veg fyrir óleyfilega útsetningu gagna
Firebase Öryggisreglur eru aðal vörnin fyrir netþjónalaus forrit sem nota Firestore og Cloud Storage. Þegar þessar reglur eru of leyfilegar, eins og að leyfa alþjóðlegan les- eða skrifaðgang í framleiðslu, geta árásarmenn farið framhjá fyrirhugaðri umsóknarrökfræði til að stela eða eyða viðkvæmum gögnum. Þessi rannsókn kannar algengar rangstillingar, hættuna á vanskilum „prófunarhams“ og hvernig á að innleiða auðkennismiðaða aðgangsstýringu.
CSRF vernd: verjast óviðkomandi ástandsbreytingum
Cross-Site Request Forgery (CSRF) er enn veruleg ógn við vefforrit. Þessi rannsókn kannar hvernig nútíma ramma eins og Django innleiðir vernd og hvernig eiginleikar á vafrastigi eins og SameSite veita ítarlegar varnir gegn óheimilum beiðnum.
API Öryggisgátlisti: 12 hlutir sem þarf að athuga áður en þú byrjar í beinni
API eru burðarás nútíma vefforrita en skortir oft öryggisstrangt hefðbundinna framenda. Þessi rannsóknargrein útlistar nauðsynlegan gátlista til að tryggja API, með áherslu á aðgangsstýringu, takmörkun á gjaldskrá og deilingu milli uppruna (CORS) til að koma í veg fyrir gagnabrot og misnotkun á þjónustu.
API Lyklaleki: Áhætta og úrbætur í nútíma vefforritum
Harðkóðuð leyndarmál í framendakóða eða geymslusögu gera árásarmönnum kleift að líkjast þjónustu, fá aðgang að einkagögnum og stofna til kostnaðar. Þessi grein fjallar um hættuna á leynilegum leka og nauðsynlegar aðgerðir til hreinsunar og forvarna.
CORS Misstillingar: Hættan á of leyfilegum reglum
Cross-Origin Resource Sharing (CORS) er vafrakerfi sem er hannað til að slaka á Same-Origin Policy (SOP). Þó að það sé nauðsynlegt fyrir nútíma vefforrit, getur óviðeigandi útfærsla – eins og að enduróma upprunahaus umsækjanda eða að setja „null“ upprunann á hvítlista – leyft skaðlegum vefsvæðum að síast út einkanotendagögn.
Að tryggja MVP: Koma í veg fyrir gagnaleka í AI-mynduðum SaaS öppum
Hraðþróuð SaaS forrit þjást oft af mikilvægu öryggiseftirliti. Þessi rannsókn kannar hvernig lekið leyndarmál og bilaðar aðgangsstýringar, svo sem vantar Row Level Security (RLS), skapa áhrifamikla veikleika í nútíma vefstöflum.