// badania podatności
Badania podatności dla witryn i aplikacji tworzonych z pomocą AI.
Oparte na źródłach notatki o podatnościach istotnych dla aplikacji webowych generowanych przez AI, stosów BaaS, pakietów frontendowych, uwierzytelniania i bezpieczeństwa zależności.
Wstrzykiwanie SQL w treści Ghost API (CVE-2026-26980)
Wersje Ghost od 3.24.0 do 6.19.0 zawierają krytyczną lukę w zabezpieczeniach umożliwiającą iniekcję SQL w treści API. Umożliwia to nieuwierzytelnionym atakującym wykonywanie dowolnych poleceń SQL, co może prowadzić do wycieku danych lub nieautoryzowanych modyfikacji.
Cały research
34 artykułów
Zdalne wykonanie kodu w SPIP poprzez znaczniki szablonów (CVE-2016-7998)
Wersja SPIP 3.1.2 i starsze zawierają lukę w programie do tworzenia szablonów. Uwierzytelnieni napastnicy mogą przesyłać pliki HTML ze spreparowanymi tagami INCLUDE lub INCLURE w celu wykonania dowolnego kodu PHP na serwerze.
Ujawnianie informacji konfiguracyjnych programu ZoneMinder Apache (CVE-2016-10140)
Wersje ZoneMinder 1.29 i 1.30 są dotknięte błędną konfiguracją dołączonego serwera Apache HTTP Server. Ta luka umożliwia zdalnym, nieuwierzytelnionym atakującym przeglądanie głównego katalogu sieciowego, co może prowadzić do ujawnienia poufnych informacji i obejścia uwierzytelniania.
Next.js Błędna konfiguracja nagłówka zabezpieczeń w next.config.js
Aplikacje Next.js korzystające z pliku next.config.js do zarządzania nagłówkami są podatne na luki w zabezpieczeniach, jeśli wzorce dopasowywania ścieżek są nieprecyzyjne. W tym badaniu zbadano, w jaki sposób błędne konfiguracje symboli wieloznacznych i wyrażeń regularnych prowadzą do brakujących nagłówków zabezpieczeń na wrażliwych trasach oraz w jaki sposób można wzmocnić konfigurację.
Nieodpowiednia konfiguracja nagłówka zabezpieczeń
Aplikacje internetowe często nie implementują podstawowych nagłówków zabezpieczeń, narażając użytkowników na ataki typu cross-site scripting (XSS), przechwytywanie kliknięć i wstrzykiwanie danych. Postępując zgodnie z ustalonymi wytycznymi dotyczącymi bezpieczeństwa sieci i korzystając z narzędzi audytowych, takich jak Obserwatorium MDN, programiści mogą znacznie wzmocnić swoje aplikacje przed typowymi atakami opartymi na przeglądarkach.
Ograniczanie OWASP 10 najważniejszych zagrożeń związanych z szybkim tworzeniem stron internetowych
Niezależni hakerzy i małe zespoły często stają w obliczu wyjątkowych wyzwań związanych z bezpieczeństwem podczas szybkiej wysyłki, szczególnie w przypadku kodu wygenerowanego przez AI. Badanie to podkreśla powtarzające się zagrożenia z kategorii CWE Top 25 i OWASP, w tym zepsutą kontrolę dostępu i niepewne konfiguracje, zapewniając podstawę do automatycznych kontroli bezpieczeństwa.
Niezabezpieczone konfiguracje nagłówka HTTP w aplikacjach generowanych przez AI
W aplikacjach generowanych przez asystentów AI często brakuje niezbędnych nagłówków bezpieczeństwa HTTP, co nie spełnia nowoczesnych standardów bezpieczeństwa. To pominięcie naraża aplikacje internetowe na typowe ataki po stronie klienta. Wykorzystując testy porównawcze, takie jak Obserwatorium HTTP Mozilla, programiści mogą zidentyfikować brakujące zabezpieczenia, takie jak CSP i HSTS, aby poprawić stan bezpieczeństwa swoich aplikacji.
Wykrywanie luk w zabezpieczeniach związanych ze skryptami krzyżowymi i zapobieganie im (XSS)
Cross-Site Scripting (XSS) ma miejsce, gdy aplikacja zawiera niezaufane dane na stronie internetowej bez odpowiedniej weryfikacji lub kodowania. Umożliwia to atakującym wykonywanie złośliwych skryptów w przeglądarce ofiary, co prowadzi do przejęcia sesji, nieautoryzowanych działań i ujawnienia wrażliwych danych.
Wstrzykiwanie SQL proxy LiteLLM (CVE-2026-42208)
Krytyczna luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu SQL (CVE-2026-42208) w komponencie proxy LiteLLM umożliwia atakującym ominięcie uwierzytelnienia lub uzyskanie dostępu do poufnych informacji bazy danych poprzez wykorzystanie procesu weryfikacji klucza API.
Zagrożenia bezpieczeństwa związane z kodowaniem Vibe: audyt kodu wygenerowanego przez AI
Rozwój „kodowania wibracyjnego” — tworzenie aplikacji głównie poprzez szybkie podpowiadanie AI — stwarza zagrożenia, takie jak zakodowane na stałe dane uwierzytelniające i niepewne wzorce kodu. Ponieważ modele AI mogą sugerować kod w oparciu o dane szkoleniowe zawierające luki, ich dane wyjściowe należy traktować jako niezaufane i kontrolować przy użyciu automatycznych narzędzi skanujących, aby zapobiec ujawnieniu danych.
JWT Bezpieczeństwo: ryzyko związane z niezabezpieczonymi tokenami i brakiem weryfikacji roszczeń
Tokeny internetowe JSON (JWT) zapewniają standard przesyłania oświadczeń, ale bezpieczeństwo opiera się na rygorystycznej weryfikacji. Brak weryfikacji podpisów, czasów wygaśnięcia lub docelowych odbiorców umożliwia atakującym ominięcie uwierzytelnienia lub odtworzenie tokenów.
Zabezpieczanie wdrożeń Vercel: najlepsze praktyki dotyczące ochrony i nagłówków
To badanie bada konfiguracje zabezpieczeń dla aplikacji hostowanych przez Vercel, koncentrując się na ochronie wdrażania i niestandardowych nagłówkach HTTP. Wyjaśnia, w jaki sposób te funkcje chronią środowiska podglądu i egzekwują zasady bezpieczeństwa po stronie przeglądarki, aby zapobiec nieautoryzowanemu dostępowi i typowym atakom internetowym.
Wstrzyknięcie krytycznego polecenia systemu operacyjnego w LibreNMS (CVE-2024-51092)
Wersje LibreNMS do 24.9.1 zawierają krytyczną lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń systemu operacyjnego (CVE-2024-51092). Uwierzytelnieni atakujący mogą wykonywać dowolne polecenia w systemie hosta, co może prowadzić do całkowitego naruszenia infrastruktury monitorowania.
Wstrzyknięcie SQL LiteLLM do serwera proxy API Weryfikacja klucza (CVE-2026-42208)
Wersje LiteLLM od 1.81.16 do 1.83.6 zawierają krytyczną lukę w zabezpieczeniach polegającą na wstrzykiwaniu SQL w logice weryfikacji klucza Proxy API. Ta wada umożliwia nieuwierzytelnionym atakującym ominięcie kontroli uwierzytelniania lub uzyskanie dostępu do podstawowej bazy danych. Problem został rozwiązany w wersji 1.83.7.
Firebase Zasady bezpieczeństwa: zapobieganie nieautoryzowanemu ujawnieniu danych
Reguły bezpieczeństwa Firebase stanowią podstawową ochronę aplikacji bezserwerowych korzystających z Firestore i Cloud Storage. Gdy te reguły są zbyt liberalne, na przykład zezwalają na globalny dostęp do odczytu i zapisu w środowisku produkcyjnym, osoby atakujące mogą ominąć zamierzoną logikę aplikacji w celu kradzieży lub usunięcia wrażliwych danych. W tym badaniu zbadano typowe błędne konfiguracje, ryzyko związane z domyślnymi ustawieniami „trybu testowego” oraz sposoby wdrażania kontroli dostępu opartej na tożsamości.
Ochrona CSRF: obrona przed nieautoryzowanymi zmianami stanu
Fałszerstwo żądań między witrynami (CSRF) pozostaje poważnym zagrożeniem dla aplikacji internetowych. Badanie to bada, w jaki sposób nowoczesne platformy, takie jak Django, wdrażają ochronę i w jaki sposób atrybuty na poziomie przeglądarki, takie jak SameSite, zapewniają dogłębną ochronę przed nieautoryzowanymi żądaniami.
API Lista kontrolna zabezpieczeń: 12 rzeczy, które należy sprawdzić przed rozpoczęciem transmisji na żywo
Interfejsy API stanowią szkielet nowoczesnych aplikacji internetowych, ale często brakuje im rygorów bezpieczeństwa tradycyjnych frontendów. W tym artykule badawczym przedstawiono niezbędną listę kontrolną dotyczącą zabezpieczania interfejsów API, skupiającą się na kontroli dostępu, ograniczaniu szybkości i udostępnianiu zasobów między źródłami (CORS), aby zapobiegać naruszeniom danych i nadużyciom usług.
API Wyciek klucza: ryzyko i środki zaradcze w nowoczesnych aplikacjach internetowych
Zakodowane na stałe sekrety w kodzie frontendu lub historii repozytorium umożliwiają atakującym podszywanie się pod usługi, uzyskiwanie dostępu do prywatnych danych i ponoszenie kosztów. W tym artykule omówiono ryzyko tajnego wycieku oraz niezbędne kroki w celu oczyszczenia i zapobiegania.
CORS Błędna konfiguracja: ryzyko stosowania zbyt liberalnych zasad
Udostępnianie zasobów między źródłami (CORS) to mechanizm przeglądarki zaprojektowany w celu złagodzenia zasad tego samego pochodzenia (SOP). Choć jest to konieczne w przypadku nowoczesnych aplikacji internetowych, niewłaściwa implementacja — na przykład wyświetlanie echa nagłówka Origin osoby żądającej lub umieszczanie na białej liście źródła „null” — może umożliwić złośliwym witrynom wydobywanie prywatnych danych użytkowników.
Zabezpieczanie MVP: zapobieganie wyciekom danych w aplikacjach SaaS generowanych przez AI
Szybko rozwijane aplikacje SaaS często podlegają krytycznym kontrolom bezpieczeństwa. Badanie to bada, w jaki sposób ujawnione tajemnice i zepsute kontrole dostępu, takie jak brakujące zabezpieczenia na poziomie wiersza (RLS), tworzą luki o dużym wpływie na nowoczesne stosy internetowe.