// cercetare vulnerabilități
Cercetare a vulnerabilităților pentru site-uri și aplicații construite cu AI.
Note bazate pe surse despre vulnerabilități importante pentru aplicații web generate de AI, stack-uri BaaS, pachete frontend, autentificare și securitatea dependențelor.
Injecție SQL în conținut fantomă API (CVE-2026-26980)
Versiunile Ghost 3.24.0 până la 6.19.0 conțin o vulnerabilitate critică de injectare SQL în conținutul API. Acest lucru permite atacatorilor neautentificați să execute comenzi SQL arbitrare, ceea ce poate duce la exfiltrarea datelor sau la modificări neautorizate.
Toată cercetarea
34 articole
Executarea codului de la distanță în SPIP prin etichete de șablon (CVE-2016-7998)
Versiunile SPIP 3.1.2 și anterioare conțin o vulnerabilitate în compozitorul șablonului. Atacatorii autentificați pot încărca fișiere HTML cu etichete INCLUDE sau INCLURE create pentru a executa cod PHP arbitrar pe server.
Dezvăluirea informațiilor de configurare ZoneMinder Apache (CVE-2016-10140)
Versiunile ZoneMinder 1.29 și 1.30 sunt afectate de o configurație greșită a serverului HTTP Apache. Această defecțiune le permite atacatorilor de la distanță, neautentificați, să răsfoiască directorul rădăcină web, ceea ce poate duce la dezvăluirea informațiilor sensibile și la ocolirea autentificării.
Next.js Configurare greșită a antetului de securitate în next.config.js
Aplicațiile Next.js care utilizează next.config.js pentru gestionarea antetului sunt susceptibile la lacune de securitate dacă modelele de potrivire a căilor sunt imprecise. Această cercetare explorează modul în care configurările greșite cu caractere wildcard și regex duc la lipsa antetelor de securitate pe rute sensibile și cum să întărească configurația.
Configurație inadecvată a antetului de securitate
Aplicațiile web nu reușesc adesea să implementeze anteturile de securitate esențiale, lăsând utilizatorii expuși la scripting-uri între site-uri (XSS), clickjacking și injectare de date. Urmând liniile directoare de securitate web stabilite și folosind instrumente de audit precum Observatorul MDN, dezvoltatorii își pot întări în mod semnificativ aplicațiile împotriva atacurilor comune bazate pe browser.
Atenuarea OWASP Top 10 riscuri în dezvoltarea rapidă web
Hackerii indie și echipele mici se confruntă adesea cu provocări unice de securitate atunci când expediază rapid, în special cu codul generat de AI. Această cercetare evidențiază riscurile recurente din categoriile CWE Top 25 și OWASP, inclusiv controlul accesului întrerupt și configurațiile nesigure, oferind o bază pentru verificări automate de securitate.
Configurații nesigure de antet HTTP în aplicațiile generate de AI
Aplicațiile generate de asistenții AI nu au frecvent anteturi de securitate HTTP esențiale, nereușind să îndeplinească standardele moderne de securitate. Această omisiune lasă aplicațiile web vulnerabile la atacurile obișnuite din partea clientului. Folosind benchmark-uri precum Observatorul HTTP Mozilla, dezvoltatorii pot identifica protecțiile lipsă, cum ar fi CSP și HSTS, pentru a îmbunătăți postura de securitate a aplicației lor.
Detectarea și prevenirea vulnerabilităților Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) are loc atunci când o aplicație include date nede încredere într-o pagină web fără validarea sau codificarea corespunzătoare. Acest lucru permite atacatorilor să execute scripturi rău intenționate în browserul victimei, ceea ce duce la deturnarea sesiunii, acțiuni neautorizate și expunerea datelor sensibile.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
O vulnerabilitate critică de injectare SQL (CVE-2026-42208) în componenta proxy a LiteLLM permite atacatorilor să ocolească autentificarea sau să acceseze informațiile sensibile ale bazei de date prin exploatarea procesului de verificare a cheilor API.
Riscurile de securitate ale codării Vibe: auditarea codului generat de AI
Creșterea „codării vibraționale” – crearea de aplicații în primul rând prin solicitarea rapidă AI – introduce riscuri precum acreditările codificate greu și modelele de cod nesigure. Deoarece modelele AI pot sugera cod bazat pe date de antrenament care conțin vulnerabilități, rezultatele lor trebuie tratate ca nefiind de încredere și auditate folosind instrumente de scanare automată pentru a preveni expunerea datelor.
JWT Securitate: Riscurile de jetoane nesecurizate și lipsa validării revendicării
Tokenurile web JSON (JWT) oferă un standard pentru transferul revendicărilor, dar securitatea se bazează pe o validare riguroasă. Eșecul de a verifica semnăturile, termenele de expirare sau publicul vizat permite atacatorilor să ocolească autentificarea sau tokenurile de reluare.
Securizarea implementărilor Vercel: cele mai bune practici de protecție și antet
Această cercetare explorează configurațiile de securitate pentru aplicațiile găzduite de Vercel, concentrându-se pe Protecția implementării și antetele HTTP personalizate. Acesta explică modul în care aceste caracteristici protejează mediile de previzualizare și impun politicile de securitate la nivelul browserului pentru a preveni accesul neautorizat și atacurile web comune.
Injecție critică de comandă a sistemului de operare în LibreNMS (CVE-2024-51092)
Versiunile LibreNMS până la 24.9.1 conțin o vulnerabilitate critică de injectare a comenzii sistemului de operare (CVE-2024-51092). Atacatorii autentificați pot executa comenzi arbitrare pe sistemul gazdă, ceea ce poate duce la compromiterea totală a infrastructurii de monitorizare.
Injecție SQL LiteLLM în proxy API Verificare cheie (CVE-2026-42208)
Versiunile LiteLLM 1.81.16 până la 1.83.6 conțin o vulnerabilitate critică de injectare SQL în logica de verificare a cheii Proxy API. Acest defect permite atacatorilor neautentificați să ocolească controalele de autentificare sau să acceseze baza de date de bază. Problema este rezolvată în versiunea 1.83.7.
Firebase Reguli de securitate: prevenirea expunerii neautorizate a datelor
Firebase Regulile de securitate sunt principala apărare pentru aplicațiile fără server care utilizează Firestore și Cloud Storage. Când aceste reguli sunt prea permisive, cum ar fi permisiunea accesului global de citire sau scriere în producție, atacatorii pot ocoli logica aplicației intenționată pentru a fura sau a șterge date sensibile. Această cercetare explorează configurațiile greșite obișnuite, riscurile implicite ale „modului de testare” și modul de implementare a controlului accesului bazat pe identitate.
Protecție CSRF: Apărare împotriva schimbărilor neautorizate de stat
Falsificarea cererilor între site-uri (CSRF) rămâne o amenințare semnificativă pentru aplicațiile web. Această cercetare explorează modul în care cadrele moderne precum Django implementează protecția și modul în care atributele la nivel de browser, cum ar fi SameSite, oferă protecție în profunzime împotriva solicitărilor neautorizate.
API Lista de verificare a securității: 12 lucruri de verificat înainte de a intra în direct
API-urile sunt coloana vertebrală a aplicațiilor web moderne, dar adesea le lipsește rigoarea de securitate a frontend-urilor tradiționale. Acest articol de cercetare subliniază o listă de verificare esențială pentru securizarea API-urilor, concentrându-se pe controlul accesului, limitarea ratei și partajarea resurselor între origini (CORS) pentru a preveni încălcarea datelor și abuzul de servicii.
API Scurgere cheie: riscuri și remediere în aplicațiile web moderne
Secretele codificate în codul frontal sau istoricul depozitului permit atacatorilor să uzurpare identitatea serviciilor, să acceseze date private și să suporte costuri. Acest articol acoperă riscurile de scurgere secretă și pașii necesari pentru curățare și prevenire.
CORS Configurare greșită: riscuri ale politicilor excesiv de permisive
Partajarea resurselor între origini (CORS) este un mecanism de browser conceput pentru a relaxa Politica pentru aceeași origine (SOP). Deși este necesară pentru aplicațiile web moderne, implementarea necorespunzătoare, cum ar fi ecou antetul Origin al solicitantului sau includerea în lista albă a originii „nule” – poate permite site-urilor rău intenționate să exfiltreze datele private ale utilizatorilor.
Securizarea MVP: prevenirea scurgerilor de date în aplicațiile SaaS generate de AI
Aplicațiile SaaS dezvoltate rapid suferă adesea de neglijențe critice de securitate. Această cercetare explorează modul în care secretele scurse și controalele de acces sparte, cum ar fi lipsa Securității la nivel de rând (RLS), creează vulnerabilități cu impact ridicat în stivele web moderne.