// исследование уязвимостей
Исследование уязвимостей для сайтов и приложений, созданных с помощью ИИ.
Заметки на основе источников об уязвимостях, важных для веб-приложений на базе ИИ, BaaS-стеков, фронтенд-сборок, аутентификации и безопасности зависимостей.
SQL-инъекция в призрачный контент API (CVE-2026-26980)
Версии Ghost с 3.24.0 по 6.19.0 содержат критическую уязвимость внедрения SQL в контенте API. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольные команды SQL, что потенциально может привести к краже данных или несанкционированному изменению.
Все исследования
34 статей
Удаленное выполнение кода в SPIP через теги шаблона (CVE-2016-7998)
SPIP версий 3.1.2 и более ранних содержит уязвимость в компоновщике шаблонов. Аутентифицированные злоумышленники могут загружать HTML-файлы со специально созданными тегами INCLUDE или INCLURE для выполнения произвольного PHP-кода на сервере.
Раскрытие информации о конфигурации ZoneMinder Apache (CVE-2016-10140)
На версии ZoneMinder 1.29 и 1.30 влияет неверная конфигурация встроенного HTTP-сервера Apache. Этот недостаток позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, просматривать корневой каталог веб-сайта, что потенциально может привести к раскрытию конфиденциальной информации и обходу аутентификации.
Next.js Неправильная конфигурация заголовка безопасности в next.config.js
Приложения Next.js, использующие next.config.js для управления заголовками, подвержены брешам в безопасности, если шаблоны сопоставления путей неточны. В этом исследовании рассматривается, как неправильные настройки подстановочных знаков и регулярных выражений приводят к отсутствию заголовков безопасности на конфиденциальных маршрутах и как ужесточить конфигурацию.
Неправильная конфигурация заголовка безопасности
Веб-приложениям часто не удается реализовать важные заголовки безопасности, в результате чего пользователи подвергаются воздействию межсайтовых сценариев (XSS), кликджекингу и внедрению данных. Следуя установленным рекомендациям по веб-безопасности и используя инструменты аудита, такие как MDN Observatory, разработчики могут значительно защитить свои приложения от распространенных атак через браузер.
Смягчение OWASP 10 основных рисков в быстрой веб-разработке
Инди-хакеры и небольшие команды часто сталкиваются с уникальными проблемами безопасности при быстрой доставке, особенно с кодом, сгенерированным AI. В этом исследовании освещаются повторяющиеся риски из категорий CWE Top 25 и OWASP, включая нарушение контроля доступа и небезопасные конфигурации, что обеспечивает основу для автоматических проверок безопасности.
Небезопасные конфигурации HTTP-заголовков в приложениях, созданных AI
В приложениях, созданных помощниками AI, часто отсутствуют необходимые заголовки безопасности HTTP, что не соответствует современным стандартам безопасности. Это упущение делает веб-приложения уязвимыми для распространенных атак на стороне клиента. Используя тесты, такие как Mozilla HTTP Observatory, разработчики могут выявить недостающие средства защиты, такие как CSP и HSTS, чтобы улучшить уровень безопасности своих приложений.
Обнаружение и предотвращение уязвимостей межсайтового скриптинга (XSS)
Межсайтовый сценарий (XSS) возникает, когда приложение включает в веб-страницу ненадежные данные без надлежащей проверки или кодирования. Это позволяет злоумышленникам выполнять вредоносные сценарии в браузере жертвы, что приводит к перехвату сеанса, несанкционированным действиям и раскрытию конфиденциальных данных.
LiteLLM-прокси-инъекция SQL (CVE-2026-42208)
Критическая уязвимость SQL-инъекции (CVE-2026-42208) в прокси-компоненте LiteLLM позволяет злоумышленникам обойти аутентификацию или получить доступ к конфиденциальной информации базы данных, используя процесс проверки ключа API.
Риски безопасности при кодировании Vibe: аудит кода, сгенерированного AI
Распространение «вибрационного кодирования» — создания приложений преимущественно с помощью быстрых подсказок AI — сопряжено с такими рисками, как жестко запрограммированные учетные данные и небезопасные шаблоны кода. Поскольку модели AI могут предлагать код на основе обучающих данных, содержащий уязвимости, их выходные данные следует рассматривать как ненадежные и проверять их с помощью инструментов автоматического сканирования, чтобы предотвратить раскрытие данных.
JWT Безопасность: риски незащищенных токенов и отсутствия подтверждения заявки
Веб-токены JSON (JWT) предоставляют стандарт для передачи утверждений, но безопасность зависит от строгой проверки. Неспособность проверить подписи, сроки действия или целевую аудиторию позволяет злоумышленникам обойти аутентификацию или воспроизвести токены.
Защита развертываний Vercel: лучшие практики защиты и заголовков
В этом исследовании рассматриваются конфигурации безопасности для приложений, размещенных на Vercel, с упором на защиту развертывания и настраиваемые заголовки HTTP. В нем объясняется, как эти функции защищают среды предварительной версии и обеспечивают соблюдение политик безопасности на стороне браузера для предотвращения несанкционированного доступа и распространенных веб-атак.
Критическое внедрение команд ОС в LibreNMS (CVE-2024-51092)
Версии LibreNMS до 24.9.1 содержат критическую уязвимость внедрения команд ОС (CVE-2024-51092). Злоумышленники, прошедшие проверку подлинности, могут выполнять произвольные команды в хост-системе, что потенциально может привести к полной компрометации инфраструктуры мониторинга.
SQL-инъекция LiteLLM в прокси-сервере API Проверка ключа (CVE-2026-42208)
Версии LiteLLM с 1.81.16 по 1.83.6 содержат критическую уязвимость SQL-инъекции в логике проверки ключа прокси-сервера API. Этот недостаток позволяет злоумышленникам, не прошедшим проверку подлинности, обойти средства контроля аутентификации или получить доступ к базовой базе данных. Проблема решена в версии 1.83.7.
Firebase Правила безопасности: предотвращение несанкционированного раскрытия данных
Firebase Правила безопасности — это основная защита для бессерверных приложений, использующих Firestore и Cloud Storage. Когда эти правила слишком либеральны, например, разрешают глобальный доступ для чтения или записи в рабочей среде, злоумышленники могут обойти запланированную логику приложения для кражи или удаления конфиденциальных данных. В этом исследовании рассматриваются распространенные неправильные настройки, риски настроек «тестового режима» по умолчанию и способы реализации контроля доступа на основе удостоверений.
Защита CSRF: защита от несанкционированных изменений состояния
Подделка межсайтовых запросов (CSRF) остается серьезной угрозой для веб-приложений. В этом исследовании рассматривается, как современные платформы, такие как Django, реализуют защиту и как атрибуты уровня браузера, такие как SameSite, обеспечивают глубокую защиту от несанкционированных запросов.
API Контрольный список безопасности: 12 вещей, которые следует проверить перед запуском в эксплуатацию
API являются основой современных веб-приложений, но им часто не хватает строгости безопасности традиционных интерфейсов. В этой исследовательской статье изложен важный контрольный список для обеспечения безопасности API с упором на контроль доступа, ограничение скорости и совместное использование ресурсов между источниками (CORS) для предотвращения утечки данных и злоупотребления услугами.
API Утечка ключей: риски и способы устранения в современных веб-приложениях
Жестко запрограммированные секреты в коде внешнего интерфейса или в истории репозитория позволяют злоумышленникам выдавать себя за службы, получать доступ к частным данным и нести расходы. В этой статье рассматриваются риски утечки секрета и необходимые шаги по очистке и предотвращению.
CORS Неправильная конфигурация: риски чрезмерно разрешительной политики
Совместное использование ресурсов между разными источниками (CORS) — это механизм браузера, предназначенный для ослабления политики одного и того же происхождения (SOP). Хотя это необходимо для современных веб-приложений, неправильная реализация — например, отображение заголовка Origin запрашивающей стороны или внесение «нулевого» источника в белый список — может позволить вредоносным сайтам украсть частные данные пользователя.
Защита MVP: предотвращение утечек данных в SaaS-приложениях, созданных AI
Быстро разрабатываемые SaaS-приложения часто страдают от критических нарушений безопасности. В этом исследовании рассматривается, как утечка секретов и нарушение контроля доступа, например отсутствие безопасности на уровне строк (RLS), создают серьезные уязвимости в современных веб-стеках.