// penyelidikan kerentanan
Penyelidikan kerentanan untuk tapak web dan aplikasi yang dibina dengan AI.
Nota berasaskan sumber mengenai kerentanan yang penting untuk aplikasi web yang dihasilkan AI, tumpukan BaaS, bundle frontend, pengesahan dan keselamatan kebergantungan.
Suntikan SQL dalam Kandungan Hantu API (CVE-2026-26980)
Ghost versi 3.24.0 hingga 6.19.0 mengandungi kerentanan suntikan SQL yang kritikal dalam Kandungan API. Ini membenarkan penyerang yang tidak disahkan untuk melaksanakan arahan SQL sewenang-wenangnya, yang berpotensi membawa kepada penyusutan data atau pengubahsuaian tanpa kebenaran.
Semua penyelidikan
34 artikel
Pelaksanaan Kod Jauh dalam SPIP melalui Teg Templat (CVE-2016-7998)
SPIP versi 3.1.2 dan lebih awal mengandungi kelemahan dalam komposer templat. Penyerang yang disahkan boleh memuat naik fail HTML dengan teg INCLUDE atau INCLURE yang dibuat untuk melaksanakan kod PHP sewenang-wenangnya pada pelayan.
Pendedahan Maklumat Konfigurasi Apache ZoneMinder (CVE-2016-10140)
ZoneMinder versi 1.29 dan 1.30 dipengaruhi oleh salah konfigurasi Pelayan HTTP Apache yang digabungkan. Cacat ini membolehkan penyerang jauh dan tidak disahkan menyemak imbas direktori akar web, yang berpotensi membawa kepada pendedahan maklumat sensitif dan pintasan pengesahan.
Next.js Salah konfigurasi Pengepala Keselamatan dalam next.config.js
Aplikasi Next.js yang menggunakan next.config.js untuk pengurusan pengepala terdedah kepada jurang keselamatan jika corak padanan laluan tidak tepat. Penyelidikan ini meneroka cara salah konfigurasi kad bebas dan regex membawa kepada kehilangan pengepala keselamatan pada laluan sensitif dan cara mengeraskan konfigurasi.
Konfigurasi Pengepala Keselamatan yang tidak mencukupi
Aplikasi web sering gagal melaksanakan pengepala keselamatan yang penting, menyebabkan pengguna terdedah kepada skrip merentas tapak (XSS), klikjack dan suntikan data. Dengan mengikut garis panduan keselamatan web yang ditetapkan dan menggunakan alat pengauditan seperti Balai Cerap MDN, pembangun boleh mengeraskan aplikasi mereka dengan ketara daripada serangan berasaskan pelayar biasa.
Mengurangkan 10 Risiko Teratas OWASP dalam Pembangunan Web Pantas
Penggodam indie dan pasukan kecil sering menghadapi cabaran keselamatan yang unik apabila dihantar dengan pantas, terutamanya dengan kod yang dijana AI. Penyelidikan ini menyerlahkan risiko berulang daripada kategori CWE Top 25 dan OWASP, termasuk kawalan akses rosak dan konfigurasi tidak selamat, menyediakan asas untuk pemeriksaan keselamatan automatik.
Konfigurasi Pengepala HTTP Tidak Selamat dalam Aplikasi Dijana AI
Aplikasi yang dijana oleh pembantu AI kerap kekurangan pengepala keselamatan HTTP yang penting, gagal memenuhi piawaian keselamatan moden. Peninggalan ini menyebabkan aplikasi web terdedah kepada serangan sisi klien biasa. Dengan menggunakan penanda aras seperti Balai Cerap HTTP Mozilla, pembangun boleh mengenal pasti perlindungan yang hilang seperti CSP dan HSTS untuk meningkatkan postur keselamatan aplikasi mereka.
Mengesan dan Mencegah Kerentanan Penskripan Merentas Tapak (XSS)
Skrip Merentas Tapak (XSS) berlaku apabila aplikasi memasukkan data yang tidak dipercayai dalam halaman web tanpa pengesahan atau pengekodan yang betul. Ini membolehkan penyerang melaksanakan skrip berniat jahat dalam penyemak imbas mangsa, yang membawa kepada rampasan sesi, tindakan tanpa kebenaran dan pendedahan data sensitif.
Suntikan SQL Proksi LiteLLM (CVE-2026-42208)
Kerentanan suntikan SQL kritikal (CVE-2026-42208) dalam komponen proksi LiteLLM membolehkan penyerang memintas pengesahan atau mengakses maklumat pangkalan data sensitif dengan mengeksploitasi proses pengesahan kunci API.
Risiko Keselamatan Pengekodan Vibe: Mengaudit Kod Dijana AI
Peningkatan 'pengekodan vibe'—membina aplikasi terutamanya melalui dorongan AI yang pantas—memperkenalkan risiko seperti bukti kelayakan berkod keras dan corak kod tidak selamat. Oleh kerana model AI mungkin mencadangkan kod berdasarkan data latihan yang mengandungi kelemahan, outputnya mesti dianggap sebagai tidak dipercayai dan diaudit menggunakan alat pengimbasan automatik untuk mengelakkan pendedahan data.
Keselamatan JWT: Risiko Token Tidak Bercagar dan Pengesahan Tuntutan Hilang
Token Web JSON (JWT) menyediakan standard untuk memindahkan tuntutan, tetapi keselamatan bergantung pada pengesahan yang ketat. Kegagalan untuk mengesahkan tandatangan, masa tamat tempoh atau khalayak yang dimaksudkan membolehkan penyerang memintas pengesahan atau memainkan semula token.
Memastikan Penggunaan Vercel: Perlindungan dan Amalan Terbaik Pengepala
Penyelidikan ini meneroka konfigurasi keselamatan untuk aplikasi yang dihoskan Vercel, memfokuskan pada Perlindungan Penggunaan dan pengepala HTTP tersuai. Ia menerangkan cara ciri ini melindungi persekitaran pratonton dan menguatkuasakan dasar keselamatan bahagian penyemak imbas untuk menghalang akses tanpa kebenaran dan serangan web biasa.
Suntikan Perintah OS Kritikal dalam LibreNMS (CVE-2024-51092)
Versi LibreNMS sehingga 24.9.1 mengandungi kerentanan suntikan arahan OS yang kritikal (CVE-2024-51092). Penyerang yang disahkan boleh melaksanakan arahan sewenang-wenangnya pada sistem hos, yang berpotensi membawa kepada kompromi sepenuhnya terhadap infrastruktur pemantauan.
Suntikan SQL LiteLLM dalam Proksi Pengesahan Kunci API (CVE-2026-42208)
LiteLLM versi 1.81.16 hingga 1.83.6 mengandungi kerentanan suntikan SQL yang kritikal dalam logik pengesahan kunci Proksi API. Kelemahan ini membolehkan penyerang yang tidak disahkan memintas kawalan pengesahan atau mengakses pangkalan data asas. Isu ini diselesaikan dalam versi 1.83.7.
Peraturan Keselamatan Firebase: Mencegah Pendedahan Data Tanpa Kebenaran
Peraturan Keselamatan Firebase ialah pertahanan utama untuk aplikasi tanpa pelayan menggunakan Firestore dan Cloud Storage. Apabila peraturan ini terlalu permisif, seperti membenarkan akses baca atau tulis global dalam pengeluaran, penyerang boleh memintas logik aplikasi yang dimaksudkan untuk mencuri atau memadam data sensitif. Penyelidikan ini meneroka salah konfigurasi biasa, risiko lalai 'mod ujian' dan cara melaksanakan kawalan akses berasaskan identiti.
Perlindungan CSRF: Mempertahankan Terhadap Perubahan Negara Tanpa Kebenaran
Pemalsuan Permintaan Merentas Tapak (CSRF) kekal sebagai ancaman besar kepada aplikasi web. Penyelidikan ini meneroka cara rangka kerja moden seperti Django melaksanakan perlindungan dan cara atribut peringkat penyemak imbas seperti SameSite memberikan pertahanan secara mendalam terhadap permintaan yang tidak dibenarkan.
API Senarai Semak Keselamatan: 12 Perkara yang Perlu Disemak Sebelum Disiarkan Secara Langsung
API ialah tulang belakang aplikasi web moden tetapi selalunya tidak mempunyai ketelitian keselamatan pada bahagian hadapan tradisional. Artikel penyelidikan ini menggariskan senarai semak penting untuk mendapatkan API, memfokuskan pada kawalan akses, pengehadan kadar dan perkongsian sumber silang asal (CORS) untuk mengelakkan pelanggaran data dan penyalahgunaan perkhidmatan.
API Kebocoran Utama: Risiko dan Pemulihan dalam Apl Web Moden
Rahsia berkod keras dalam kod hadapan atau sejarah repositori membenarkan penyerang menyamar sebagai perkhidmatan, mengakses data peribadi dan menanggung kos. Artikel ini merangkumi risiko kebocoran rahsia dan langkah-langkah yang perlu untuk pembersihan dan pencegahan.
CORS Salah konfigurasi: Risiko Polisi Terlalu Permisif
Perkongsian Sumber Silang Asal (CORS) ialah mekanisme penyemak imbas yang direka untuk melonggarkan Dasar Asal Sama (SOP). Walaupun diperlukan untuk apl web moden, pelaksanaan yang tidak betul—seperti menggemakan pengepala Asal peminta atau menyenarai putih asal 'null'—boleh membenarkan tapak berniat jahat mengekstrak data pengguna peribadi.
Menjaga MVP: Mencegah Kebocoran Data dalam Apl SaaS Dijana AI
Aplikasi SaaS yang dibangunkan dengan pantas sering mengalami pengawasan keselamatan yang kritikal. Penyelidikan ini meneroka cara rahsia yang bocor dan kawalan akses yang rosak, seperti kehilangan Row Level Security (RLS), mewujudkan kelemahan berimpak tinggi dalam susunan web moden.