// výskum zraniteľností
Výskum zraniteľností pre webové stránky a aplikácie vytvorené pomocou AI.
Poznámky podložené zdrojmi o zraniteľnostiach dôležitých pre webové aplikácie generované AI, BaaS zásobníky, frontendové balíky, autentifikáciu a bezpečnosť závislostí.
SQL Injection v Ghost Content API (CVE-2026-26980)
Ghost verzie 3.24.0 až 6.19.0 obsahujú kritickú zraniteľnosť vkladania SQL v obsahu API. To umožňuje neovereným útočníkom vykonávať ľubovoľné príkazy SQL, čo môže viesť k úniku údajov alebo neoprávneným úpravám.
Všetok výskum
34 článkov
Vzdialené spustenie kódu v SPIPe prostredníctvom značiek šablón (CVE-2016-7998)
SPIP verzie 3.1.2 a staršie obsahujú chybu v skladateľovi šablón. Overení útočníci môžu nahrať súbory HTML s vytvorenými značkami INCLUDE alebo INCLURE na spustenie ľubovoľného kódu PHP na serveri.
Zverejnenie informácií o konfigurácii Apache ZoneMinder (CVE-2016-10140)
ZoneMinder verzie 1.29 a 1.30 sú ovplyvnené chybnou konfiguráciou servera Apache HTTP Server. Táto chyba umožňuje vzdialeným, neovereným útočníkom prehliadať koreňový webový adresár, čo môže viesť k odhaleniu citlivých informácií a obídeniu autentifikácie.
Next.js Nesprávna konfigurácia hlavičky zabezpečenia v next.config.js
Aplikácie Next.js používajúce next.config.js na správu hlavičiek sú náchylné na bezpečnostné medzery, ak sú vzory priraďovania ciest nepresné. Tento výskum skúma, ako nesprávne konfigurácie zástupných znakov a regulárnych výrazov vedú k chýbajúcim hlavičkám zabezpečenia na citlivých cestách a ako sprísniť konfiguráciu.
Nedostatočná konfigurácia hlavičky zabezpečenia
Webové aplikácie často nedokážu implementovať základné bezpečnostné hlavičky, takže používatelia sú vystavení skriptovaniu medzi stránkami (XSS), clickjackingu a vkladaniu údajov. Dodržiavaním zavedených pokynov pre webovú bezpečnosť a používaním nástrojov na audit, ako je MDN Observatory, môžu vývojári výrazne posilniť svoje aplikácie proti bežným útokom založeným na prehliadačoch.
Zmiernenie OWASP Top 10 rizík pri rýchlom vývoji webu
Nezávislí hackeri a malé tímy často čelia jedinečným bezpečnostným výzvam pri rýchlej preprave, najmä s kódom vygenerovaným AI. Tento výskum poukazuje na opakujúce sa riziká z kategórií CWE Top 25 a OWASP vrátane nefunkčného riadenia prístupu a nezabezpečených konfigurácií, ktoré poskytujú základ pre automatizované bezpečnostné kontroly.
Nezabezpečené konfigurácie hlavičky HTTP v aplikáciách generovaných AI
Aplikáciám generovaným asistentmi AI často chýbajú základné bezpečnostné hlavičky HTTP, ktoré nespĺňajú moderné bezpečnostné štandardy. Toto vynechanie ponecháva webové aplikácie zraniteľné voči bežným útokom na strane klienta. Využitím benchmarkov, ako je Mozilla HTTP Observatory, môžu vývojári identifikovať chýbajúce ochrany, ako sú CSP a HSTS, aby zlepšili bezpečnosť svojich aplikácií.
Detekcia a prevencia chýb zabezpečenia medzi stránkami (XSS)
Cross-Site Scripting (XSS) nastáva, keď aplikácia obsahuje nedôveryhodné údaje na webovej stránke bez náležitého overenia alebo kódovania. To umožňuje útočníkom spúšťať škodlivé skripty v prehliadači obete, čo vedie k únosu relácie, neoprávneným akciám a vystaveniu citlivých údajov.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Kritická zraniteľnosť vstrekovania SQL (CVE-2026-42208) v komponente proxy LiteLLM umožňuje útočníkom obísť autentifikáciu alebo získať prístup k citlivým informáciám databázy využitím procesu overovania kľúča API.
Bezpečnostné riziká kódovania Vibe: Auditovanie kódu generovaného AI
Vzostup „kódovania vibrácií“ – vytváranie aplikácií primárne prostredníctvom rýchleho vyzvania AI – prináša riziká, ako sú napríklad pevne zakódované poverenia a nezabezpečené vzory kódu. Pretože modely AI môžu navrhovať kód založený na trénovacích údajoch obsahujúcich zraniteľné miesta, ich výstup musí byť považovaný za nedôveryhodný a musí byť kontrolovaný pomocou automatizovaných skenovacích nástrojov, aby sa zabránilo vystaveniu údajov.
JWT Zabezpečenie: Riziká nezabezpečených tokenov a chýbajúce overenie nároku
JSON Web Tokeny (JWT) poskytujú štandard na prenos nárokov, ale bezpečnosť sa spolieha na dôslednú validáciu. Neoverenie podpisov, časov vypršania platnosti alebo zamýšľaných cieľových skupín umožňuje útočníkom obísť overenie alebo prehrať tokeny.
Zabezpečenie nasadení Vercel: Najlepšie postupy ochrany a hlavičky
Tento výskum skúma konfigurácie zabezpečenia pre aplikácie hostené Vercel so zameraním na ochranu pred nasadením a vlastné hlavičky HTTP. Vysvetľuje, ako tieto funkcie chránia náhľadové prostredia a presadzujú bezpečnostné zásady prehliadača, aby sa zabránilo neoprávnenému prístupu a bežným webovým útokom.
Vloženie príkazu kritického operačného systému v LibreNMS (CVE-2024-51092)
Verzie LibreNMS do 24.9.1 obsahujú kritickú zraniteľnosť vkladania príkazov OS (CVE-2024-51092). Autentizovaní útočníci môžu vykonávať ľubovoľné príkazy na hostiteľskom systéme, čo môže viesť k úplnému ohrozeniu monitorovacej infraštruktúry.
LiteLLM SQL Injection v Proxy Overenie kľúča API (CVE-2026-42208)
LiteLLM verzie 1.81.16 až 1.83.6 obsahujú kritickú zraniteľnosť vkladania SQL v logike overenia kľúča proxy API. Táto chyba umožňuje neovereným útočníkom obísť kontroly overenia alebo získať prístup k základnej databáze. Problém je vyriešený vo verzii 1.83.7.
Firebase Bezpečnostné pravidlá: Zabránenie neoprávnenému vystaveniu údajov
Pravidlá zabezpečenia Firebase sú primárnou obranou pre aplikácie bez servera, ktoré používajú Firestore a Cloud Storage. Keď sú tieto pravidlá príliš tolerantné, ako napríklad povolenie globálneho prístupu na čítanie alebo zápis v produkcii, útočníci môžu obísť zamýšľanú aplikačnú logiku a ukradnúť alebo odstrániť citlivé údaje. Tento výskum skúma bežné nesprávne konfigurácie, riziká predvolených nastavení „testovacieho režimu“ a ako implementovať kontrolu prístupu založenú na identite.
Ochrana CSRF: Obrana proti neoprávneným zmenám stavu
Cross-Site Request Forgery (CSRF) zostáva významnou hrozbou pre webové aplikácie. Tento výskum skúma, ako moderné rámce ako Django implementujú ochranu a ako atribúty na úrovni prehliadača, ako je SameSite, poskytujú hĺbkovú ochranu proti neoprávneným požiadavkám.
Kontrolný zoznam zabezpečenia API: 12 vecí, ktoré je potrebné skontrolovať pred spustením naživo
Rozhrania API sú chrbtovou kosťou moderných webových aplikácií, ale často im chýba bezpečnostná prísnosť tradičných rozhraní. Tento výskumný článok načrtáva základný kontrolný zoznam na zabezpečenie rozhraní API so zameraním na riadenie prístupu, obmedzenie rýchlosti a zdieľanie zdrojov medzi zdrojmi (CORS), aby sa zabránilo narušeniu údajov a zneužívaniu služieb.
Kľúčový únik API: Riziká a náprava v moderných webových aplikáciách
Pevne zakódované tajomstvá v kóde frontendu alebo histórii úložiska umožňujú útočníkom vydávať sa za služby, pristupovať k súkromným údajom a znášať náklady. Tento článok popisuje riziká úniku tajných informácií a potrebné kroky na vyčistenie a prevenciu.
CORS Nesprávna konfigurácia: Riziká príliš tolerantných politík
Cross-Origin Resource Sharing (CORS) je mechanizmus prehliadača navrhnutý tak, aby zmiernil zásady rovnakého pôvodu (SOP). Aj keď je to nevyhnutné pre moderné webové aplikácie, nesprávna implementácia – ako napríklad opakovanie hlavičky Pôvodcu žiadateľa alebo zaradenie „nulového“ pôvodu na bielu listinu – môže umožniť škodlivým stránkam preniknúť do súkromných údajov používateľov.
Zabezpečenie MVP: Zabránenie úniku údajov v aplikáciách SaaS generovaných AI
Rýchlo vyvinuté aplikácie SaaS často trpia kritickými bezpečnostnými dohľadmi. Tento výskum skúma, ako uniknuté tajomstvá a nefunkčné kontroly prístupu, ako napríklad chýbajúce zabezpečenie na úrovni riadkov (RLS), vytvárajú zraniteľné miesta s vysokým dopadom v moderných webových zásobníkoch.