// sårbarhetsforskning
Sårbarhetsforskning for AI-bygde nettsteder og apper.
Kildebaserte notater om sårbarheter som betyr noe for AI-genererte webapper, BaaS-stabler, frontend-bunter, autentisering og avhengighetssikkerhet.
SQL-injeksjon i spøkelsesinnhold API (CVE-2026-26980)
Ghost versjoner 3.24.0 til og med 6.19.0 inneholder en kritisk SQL-injeksjonssårbarhet i Content API. Dette lar uautentiserte angripere utføre vilkårlige SQL-kommandoer, som potensielt kan føre til dataeksfiltrering eller uautoriserte modifikasjoner.
All forskning
34 artikler
Ekstern kjøring av kode i SPIP via maletiketter (CVE-2016-7998)
SPIP versjoner 3.1.2 og tidligere inneholder en sårbarhet i malkomponisten. Autentiserte angripere kan laste opp HTML-filer med lagde INCLUDE- eller INCLURE-koder for å kjøre vilkårlig PHP-kode på serveren.
ZoneMinder Apache Configuration Information Disclosure (CVE-2016-10140)
ZoneMinder versjoner 1.29 og 1.30 påvirkes av en medfølgende feilkonfigurasjon av Apache HTTP Server. Denne feilen tillater eksterne, uautentiserte angripere å bla gjennom rotkatalogen på nettet, noe som kan føre til avsløring av sensitiv informasjon og omgåelse av autentisering.
Next.js Feilkonfigurasjon av sikkerhetsheader i next.config.js
Next.js-applikasjoner som bruker next.config.js for overskriftsadministrasjon er mottakelige for sikkerhetshull hvis banetilpasningsmønstre er upresise. Denne forskningen undersøker hvordan feilkonfigurasjoner med jokertegn og regulære uttrykk fører til manglende sikkerhetshoder på sensitive ruter, og hvordan konfigurasjonen skjerpes.
Utilstrekkelig sikkerhetshodekonfigurasjon
Nettapplikasjoner klarer ofte ikke å implementere essensielle sikkerhetsoverskrifter, noe som gjør brukere utsatt for skripting på tvers av nettsteder (XSS), clickjacking og datainjeksjon. Ved å følge etablerte retningslinjer for nettsikkerhet og bruke revisjonsverktøy som MDN-observatoriet, kan utviklere herde applikasjonene sine betydelig mot vanlige nettleserbaserte angrep.
Redusere OWASP Topp 10 risikoer i rask nettutvikling
Indie-hackere og små team møter ofte unike sikkerhetsutfordringer når de sender raskt, spesielt med AI-generert kode. Denne forskningen fremhever tilbakevendende risikoer fra kategoriene CWE Topp 25 og OWASP, inkludert ødelagt tilgangskontroll og usikre konfigurasjoner, og gir et grunnlag for automatiserte sikkerhetssjekker.
Usikre HTTP-hodekonfigurasjoner i AI-genererte applikasjoner
Applikasjoner generert av AI-assistenter mangler ofte essensielle HTTP-sikkerhetshoder, og oppfyller ikke moderne sikkerhetsstandarder. Denne utelatelsen gjør nettapplikasjoner sårbare for vanlige angrep på klientsiden. Ved å bruke benchmarks som Mozilla HTTP Observatory, kan utviklere identifisere manglende beskyttelser som CSP og HSTS for å forbedre applikasjonens sikkerhetsposisjon.
Oppdage og forhindre skripting på tvers av nettsteder (XSS) sårbarheter
Skripting på tvers av nettsteder (XSS) oppstår når en applikasjon inkluderer uklarerte data på en nettside uten riktig validering eller koding. Dette tillater angripere å utføre ondsinnede skript i offerets nettleser, noe som fører til øktkapring, uautoriserte handlinger og eksponering av sensitive data.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
En kritisk SQL-injeksjonssårbarhet (CVE-2026-42208) i LiteLLMs proxy-komponent lar angripere omgå autentisering eller få tilgang til sensitiv databaseinformasjon ved å utnytte API-nøkkelverifiseringsprosessen.
Sikkerhetsrisikoer ved Vibe-koding: Revisjon av AI-generert kode
Fremveksten av "vibe-koding" – å bygge applikasjoner primært gjennom rask AI-spørring – introduserer risikoer som hardkodet legitimasjon og usikre kodemønstre. Fordi AI-modeller kan foreslå kode basert på opplæringsdata som inneholder sårbarheter, må utdataene deres behandles som uklarerte og revideres ved hjelp av automatiserte skanneverktøy for å forhindre dataeksponering.
JWT Sikkerhet: Risiko for usikrede tokens og manglende kravvalidering
JSON Web Tokens (JWTs) gir en standard for overføring av krav, men sikkerhet er avhengig av streng validering. Unnlatelse av å bekrefte signaturer, utløpstider eller tiltenkte målgrupper gjør at angripere kan omgå autentisering eller spille av tokens.
Sikring av Vercel-implementeringer: Beste praksis for beskyttelse og topptekst
Denne forskningen utforsker sikkerhetskonfigurasjoner for Vercel-vertsbaserte applikasjoner, med fokus på distribusjonsbeskyttelse og tilpassede HTTP-hoder. Den forklarer hvordan disse funksjonene beskytter forhåndsvisningsmiljøer og håndhever sikkerhetspolicyer på nettleseren for å forhindre uautorisert tilgang og vanlige nettangrep.
Kritisk OS-kommandeinjeksjon i LibreNMS (CVE-2024-51092)
LibreNMS-versjoner opp til 24.9.1 inneholder en kritisk sårbarhet for OS-kommandeinjeksjon (CVE-2024-51092). Autentiserte angripere kan utføre vilkårlige kommandoer på vertssystemet, noe som potensielt kan føre til totalt kompromittering av overvåkingsinfrastrukturen.
LiteLLM SQL-injeksjon i proxy API nøkkelverifisering (CVE-2026-42208)
LiteLLM versjoner 1.81.16 til og med 1.83.6 inneholder en kritisk SQL-injeksjonssårbarhet i Proxy API nøkkelverifiseringslogikken. Denne feilen lar uautentiserte angripere omgå autentiseringskontroller eller få tilgang til den underliggende databasen. Problemet er løst i versjon 1.83.7.
Firebase Sikkerhetsregler: Forhindrer uautorisert dataeksponering
Firebase Sikkerhetsregler er det primære forsvaret for serverløse applikasjoner som bruker Firestore og Cloud Storage. Når disse reglene er for ettergivende, for eksempel å tillate global lese- eller skrivetilgang i produksjon, kan angripere omgå tiltenkt applikasjonslogikk for å stjele eller slette sensitive data. Denne forskningen undersøker vanlige feilkonfigurasjoner, risikoen for "testmodus"-standarder og hvordan man implementerer identitetsbasert tilgangskontroll.
CSRF-beskyttelse: Forsvar mot uautoriserte tilstandsendringer
Cross-Site Request Forgery (CSRF) er fortsatt en betydelig trussel mot webapplikasjoner. Denne forskningen utforsker hvordan moderne rammeverk som Django implementerer beskyttelse og hvordan attributter på nettlesernivå som SameSite gir et dyptgående forsvar mot uautoriserte forespørsler.
API Sikkerhetssjekkliste: 12 ting å sjekke før du går live
API-er er ryggraden i moderne nettapplikasjoner, men mangler ofte sikkerheten til tradisjonelle grensesnitt. Denne forskningsartikkelen skisserer en viktig sjekkliste for å sikre APIer, med fokus på tilgangskontroll, hastighetsbegrensning og deling av ressurser på tvers av opprinnelse (CORS) for å forhindre datainnbrudd og tjenestemisbruk.
API Nøkkellekkasje: risikoer og utbedring i moderne nettapper
Hardkodede hemmeligheter i frontend-kode eller depothistorikk lar angripere utgi seg for tjenester, få tilgang til private data og pådra seg kostnader. Denne artikkelen dekker risikoen for hemmelig lekkasje og de nødvendige trinnene for opprydding og forebygging.
CORS Feilkonfigurasjon: Risiko for overdrevent tillatende retningslinjer
Cross-Origin Resource Sharing (CORS) er en nettlesermekanisme utviklet for å lempe på Same-Origin Policy (SOP). Selv om det er nødvendig for moderne nettapper, kan feil implementering – for eksempel å gjenta forespørslerens Origin-overskrift eller hviteliste «null»-opprinnelsen – tillate ondsinnede nettsteder å eksfiltrere private brukerdata.
Sikring av MVP: Forhindrer datalekkasjer i AI-genererte SaaS-apper
Raskutviklede SaaS-applikasjoner lider ofte av kritiske sikkerhetstilsyn. Denne forskningen undersøker hvordan lekke hemmeligheter og ødelagte tilgangskontroller, for eksempel manglende Row Level Security (RLS), skaper kraftige sårbarheter i moderne nettstabler.