// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL ievadīšana spoku saturā API (CVE-2026-26980)
Spoku versijās no 3.24.0 līdz 6.19.0 saturā API ir ietverta kritiska SQL injekcijas ievainojamība. Tas ļauj neautentificētiem uzbrucējiem izpildīt patvaļīgas SQL komandas, kas var izraisīt datu eksfiltrāciju vai nesankcionētas modifikācijas.
Visa izpēte
34 articles
Attālā koda izpilde SPIP, izmantojot veidņu tagus (CVE-2016-7998)
SPIP versijas 3.1.2 un vecākas versijas satur veidņu veidotāja ievainojamību. Autentificēti uzbrucēji var augšupielādēt HTML failus ar izstrādātiem INCLUDE vai INCLURE tagiem, lai serverī izpildītu patvaļīgu PHP kodu.
ZoneMinder Apache konfigurācijas informācijas atklāšana (CVE-2016-10140)
ZoneMinder versijas 1.29 un 1.30 ietekmē komplektā iekļautā Apache HTTP servera nepareiza konfigurācija. Šis trūkums ļauj attāliem, neautentificētiem uzbrucējiem pārlūkot tīmekļa saknes direktoriju, kas var izraisīt sensitīvas informācijas izpaušanu un autentifikācijas apiešanu.
Next.js drošības galvenes nepareiza konfigurācija failā next.config.js
Next.js lietojumprogrammas, kas galvenes pārvaldībai izmanto next.config.js, ir jutīgas pret drošības nepilnībām, ja ceļa atbilstības modeļi ir neprecīzi. Šajā pētījumā tiek pētīts, kā aizstājējzīmju un regulārās izteiksmes nepareizas konfigurācijas noved pie tā, ka sensitīvos maršrutos trūkst drošības galvenes un kā uzlabot konfigurāciju.
Nepietiekama drošības galvenes konfigurācija
Tīmekļa lietojumprogrammās bieži neizdodas ieviest būtiskas drošības galvenes, atstājot lietotājus pakļauti starpvietņu skriptiem (XSS), klikšķu uzlaušanai un datu ievadīšanai. Ievērojot noteiktās tīmekļa drošības vadlīnijas un izmantojot auditēšanas rīkus, piemēram, MDN observatoriju, izstrādātāji var ievērojami uzlabot savas lietojumprogrammas pret izplatītākajiem pārlūkprogrammu uzbrukumiem.
OWASP — 10 galvenie riski ātrai tīmekļa izstrādei
Neatkarīgi hakeri un mazas komandas bieži saskaras ar unikālām drošības problēmām, veicot ātru piegādi, īpaši izmantojot AI ģenerētu kodu. Šis pētījums izceļ atkārtotus riskus no kategorijām CWE Top 25 un OWASP, tostarp bojātas piekļuves kontroles un nedrošas konfigurācijas, nodrošinot pamatu automatizētām drošības pārbaudēm.
Nedrošas HTTP galvenes konfigurācijas AI ģenerētajās lietojumprogrammās
AI palīgu ģenerētajām lietojumprogrammām bieži trūkst būtisku HTTP drošības galvenes, kas neatbilst mūsdienu drošības standartiem. Šis izlaidums padara tīmekļa lietojumprogrammas neaizsargātas pret parastiem klienta puses uzbrukumiem. Izmantojot tādus etalonus kā Mozilla HTTP Observatory, izstrādātāji var identificēt trūkstošos aizsardzības līdzekļus, piemēram, CSP un HSTS, lai uzlabotu savas lietojumprogrammas drošības stāvokli.
Starpvietņu skriptēšanas (XSS) ievainojamību noteikšana un novēršana
Vairāku vietņu skriptēšana (XSS) notiek, ja lietojumprogramma tīmekļa lapā iekļauj neuzticamus datus bez atbilstošas validācijas vai kodēšanas. Tas ļauj uzbrucējiem izpildīt ļaunprātīgus skriptus upura pārlūkprogrammā, izraisot sesiju nolaupīšanu, neatļautas darbības un sensitīvu datu atklāšanu.
LiteLLM starpniekservera SQL ievadīšana (CVE-2026-42208)
Kritiskā SQL injekcijas ievainojamība (CVE-2026-42208) LiteLLM starpniekservera komponentā ļauj uzbrucējiem apiet autentifikāciju vai piekļūt sensitīvai datu bāzes informācijai, izmantojot API atslēgas verifikācijas procesu.
Vibe kodēšanas drošības riski: AI ģenerētā koda pārbaude
“Vibe kodēšanas” pieaugums — lietojumprogrammu veidošana galvenokārt ar ātru AI uzvedni — rada tādus riskus kā cietā kodēti akreditācijas dati un nedroši kodu modeļi. Tā kā modeļi AI var ieteikt kodu, kura pamatā ir apmācības dati, kas satur ievainojamības, to izvade ir jāuzskata par neuzticamu un jāpārbauda, izmantojot automatizētus skenēšanas rīkus, lai novērstu datu atklāšanu.
JWT Drošība: nenodrošinātu marķieru risks un pretenzijas apstiprināšanas trūkums
JSON tīmekļa marķieri (JWT) nodrošina prasību pārsūtīšanas standartu, taču drošība ir atkarīga no stingras validācijas. Ja netiek pārbaudīti paraksti, derīguma termiņi vai paredzētās mērķauditorijas, uzbrucēji var apiet autentifikāciju vai atkārtoti atskaņot pilnvaras.
Vercel izvietošanas nodrošināšana: aizsardzība un galvenes paraugprakse
Šajā pētījumā tiek pētītas Vercel mitināto lietojumprogrammu drošības konfigurācijas, koncentrējoties uz izvietošanas aizsardzību un pielāgotām HTTP galvenēm. Tajā ir paskaidrots, kā šie līdzekļi aizsargā priekšskatījuma vides un ievieš pārlūkprogrammas drošības politikas, lai novērstu nesankcionētu piekļuvi un izplatītus tīmekļa uzbrukumus.
Kritiskā OS komandu ievadīšana pakalpojumā LibreNMS (CVE-2024-51092)
LibreNMS versijās līdz 24.9.1 ir ietverta kritiska OS komandu ievadīšanas ievainojamība (CVE-2024-51092). Autentificēti uzbrucēji var izpildīt patvaļīgas komandas resursdatora sistēmā, kas, iespējams, noved pie pilnīgas uzraudzības infrastruktūras kompromitēšanas.
LiteLLM SQL injekcija starpniekserverī API atslēgas verifikācija (CVE-2026-42208)
LiteLLM versijās 1.81.16–1.83.6 ir ietverta kritiska SQL injekcijas ievainojamība starpniekservera API atslēgas verifikācijas loģikā. Šis trūkums ļauj neautentificētiem uzbrucējiem apiet autentifikācijas vadīklas vai piekļūt pamatā esošajai datubāzei. Problēma ir atrisināta versijā 1.83.7.
Firebase drošības noteikumi: nesankcionētas datu iedarbības novēršana
Firebase drošības noteikumi ir primārā aizsardzība bezserveru lietojumprogrammām, kas izmanto Firestore un Cloud Storage. Ja šie noteikumi ir pārāk pieļaujami, piemēram, atļaujot globālu lasīšanas vai rakstīšanas piekļuvi ražošanā, uzbrucēji var apiet paredzēto lietojumprogrammu loģiku, lai nozagtu vai dzēstu sensitīvus datus. Šis pētījums pēta izplatītas nepareizas konfigurācijas, “testa režīma” noklusējuma riskus un to, kā ieviest uz identitāti balstītu piekļuves kontroli.
CSRF aizsardzība: aizsardzība pret nesankcionētām stāvokļa izmaiņām
Cross-Site Request Forgery (CSRF) joprojām ir nozīmīgs drauds tīmekļa lietojumprogrammām. Šis pētījums pēta, kā mūsdienu sistēmas, piemēram, Django, ievieš aizsardzību un kā pārlūkprogrammas līmeņa atribūti, piemēram, SameSite, nodrošina padziļinātu aizsardzību pret nesankcionētiem pieprasījumiem.
API drošības kontrolsaraksts: 12 lietas, kas jāpārbauda pirms tiešraides
API ir mūsdienu tīmekļa lietojumprogrammu mugurkauls, taču bieži vien tām trūkst tradicionālo priekšgaldu drošības stingrības. Šajā pētnieciskajā rakstā ir izklāstīts būtisks kontrolsaraksts API nodrošināšanai, koncentrējoties uz piekļuves kontroli, ātruma ierobežošanu un vairāku izcelsmes resursu koplietošanu (CORS), lai novērstu datu pārkāpumus un pakalpojumu ļaunprātīgu izmantošanu.
API Atslēgas noplūde: riski un to novēršana mūsdienu tīmekļa lietotnēs
Cietie kodēti noslēpumi priekšgala kodā vai repozitorija vēsturē ļauj uzbrucējiem uzdoties par pakalpojumiem, piekļūt privātiem datiem un radīt izmaksas. Šajā rakstā ir aprakstīti slepenas noplūdes riski un nepieciešamie tīrīšanas un profilakses pasākumi.
CORS nepareiza konfigurācija: pārmērīgi pieļaujamu politiku risks
Vairāku izcelsmes resursu koplietošana (CORS) ir pārlūkprogrammas mehānisms, kas paredzēts vienas izcelsmes politikas (SOP) atvieglošanai. Lai gan tas ir nepieciešams modernām tīmekļa lietotnēm, nepareiza ieviešana, piemēram, pieprasītāja Origin galvenes atbalsošana vai “nulles” izcelsmes iekļaušana baltajā sarakstā, var ļaut ļaunprātīgām vietnēm izfiltrēt privātus lietotāja datus.
MVP nodrošināšana: datu noplūdes novēršana AI ģenerētajās SaaS lietotnēs
Ātri izstrādātās SaaS lietojumprogrammas bieži cieš no kritiskām drošības pārraudzībām. Šis pētījums pēta, kā nopludināti noslēpumi un bojātas piekļuves vadīklas, piemēram, trūkstošā rindas līmeņa drošība (RLS), rada spēcīgas ievainojamības mūsdienu tīmekļa skursteņos.