// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Vbrizgavanje SQL v vsebino duhov API (CVE-2026-26980)
Ghost različice od 3.24.0 do 6.19.0 vsebujejo kritično ranljivost vbrizgavanja SQL v vsebini API. To omogoča nepreverjenim napadalcem, da izvajajo poljubne ukaze SQL, kar lahko vodi do izruvanja podatkov ali nepooblaščenih sprememb.
Vse raziskave
34 articles
Oddaljeno izvajanje kode v SPIP prek oznak predlog (CVE-2016-7998)
SPIP različice 3.1.2 in starejše vsebujejo ranljivost v sestavljalniku predlog. Preverjeni napadalci lahko naložijo datoteke HTML z izdelanimi oznakami INCLUDE ali INCLURE za izvajanje poljubne kode PHP na strežniku.
Razkritje informacij o konfiguraciji ZoneMinder Apache (CVE-2016-10140)
Na različici ZoneMinder 1.29 in 1.30 vpliva napačna konfiguracija strežnika HTTP Apache v paketu. Ta napaka omogoča oddaljenim, nepreverjenim napadalcem, da brskajo po spletnem korenskem imeniku, kar lahko vodi do razkritja občutljivih informacij in obvoda avtentikacije.
Next.js Napačna konfiguracija varnostne glave v next.config.js
Aplikacije Next.js, ki uporabljajo next.config.js za upravljanje glave, so dovzetne za varnostne vrzeli, če so vzorci ujemanja poti nenatančni. Ta raziskava raziskuje, kako napačne konfiguracije nadomestnih znakov in regularnih izrazov vodijo do manjkajočih varnostnih glav na občutljivih poteh in kako utrditi konfiguracijo.
Neustrezna varnostna konfiguracija glave
Spletne aplikacije pogosto ne izvajajo bistvenih varnostnih glav, zaradi česar so uporabniki izpostavljeni skriptnemu izvajanju med spletnimi mesti (XSS), vgrajevanju klikov in vbrizgavanju podatkov. Z upoštevanjem uveljavljenih smernic za spletno varnost in uporabo revizijskih orodij, kot je MDN Observatory, lahko razvijalci znatno utrdijo svoje aplikacije pred pogostimi napadi, ki temeljijo na brskalniku.
Zmanjšanje OWASP 10 največjih tveganj pri hitrem spletnem razvoju
Neodvisni hekerji in majhne ekipe se pri hitrem pošiljanju pogosto soočajo z edinstvenimi varnostnimi izzivi, zlasti s kodo, ki jo ustvari AI. Ta raziskava izpostavlja ponavljajoča se tveganja iz kategorij CWE Top 25 in OWASP, vključno z okvarjenim nadzorom dostopa in nevarnimi konfiguracijami, ki zagotavljajo osnovo za avtomatizirane varnostne preglede.
Nevarne konfiguracije glave HTTP v aplikacijah, ustvarjenih z AI
Aplikacije, ki jih ustvarijo pomočniki AI, pogosto nimajo bistvenih varnostnih glav HTTP in ne izpolnjujejo sodobnih varnostnih standardov. Zaradi te opustitve so spletne aplikacije ranljive za običajne napade na strani odjemalca. Z uporabo meril uspešnosti, kot je Mozilla HTTP Observatory, lahko razvijalci identificirajo manjkajoče zaščite, kot sta CSP in HSTS, da izboljšajo varnost svoje aplikacije.
Odkrivanje in preprečevanje ranljivosti skriptnega izvajanja med spletnimi mesti (XSS)
Do skriptnega izvajanja med spletnimi mesti (XSS) pride, ko aplikacija na spletno stran vključuje nezaupljive podatke brez ustreznega preverjanja ali kodiranja. To napadalcem omogoča izvajanje zlonamernih skriptov v brskalniku žrtve, kar vodi do ugrabitve seje, nepooblaščenih dejanj in izpostavljenosti občutljivim podatkom.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Kritična ranljivost vbrizgavanja SQL (CVE-2026-42208) v proxy komponenti LiteLLM omogoča napadalcem, da zaobidejo avtentikacijo ali dostopajo do občutljivih podatkov baze podatkov z izkoriščanjem postopka preverjanja ključa API.
Varnostna tveganja kodiranja Vibe: Revizija kode, ustvarjene z AI
Vzpon »kodiranja vibe« – ustvarjanje aplikacij predvsem s hitrimi pozivi AI – uvaja tveganja, kot so trdo kodirane poverilnice in nevarni vzorci kode. Ker lahko modeli AI predlagajo kodo, ki temelji na podatkih za usposabljanje, ki vsebujejo ranljivosti, je treba njihove rezultate obravnavati kot nezaupljive in pregledati z orodji za samodejno skeniranje, da se prepreči izpostavljenost podatkov.
Varnost JWT: Tveganja nezavarovanih žetonov in manjkajočega preverjanja zahtevkov
Spletni žetoni JSON (JWT) zagotavljajo standard za prenos zahtevkov, vendar je varnost odvisna od strogega preverjanja. Neuspešno preverjanje podpisov, časov poteka ali predvidenih ciljnih skupin omogoča napadalcem, da obidejo avtentikacijo ali ponovno predvajajo žetone.
Zaščita umestitev Vercel: najboljše prakse zaščite in glave
Ta raziskava raziskuje varnostne konfiguracije za aplikacije, ki jih gosti Vercel, s poudarkom na zaščiti uvajanja in glavah HTTP po meri. Pojasnjuje, kako te funkcije ščitijo okolja predogleda in uveljavljajo varnostne politike na strani brskalnika, da preprečijo nepooblaščen dostop in običajne spletne napade.
Vstavljanje kritičnega ukaza OS v LibreNMS (CVE-2024-51092)
Različice LibreNMS do 24.9.1 vsebujejo kritično ranljivost za vstavljanje ukazov OS (CVE-2024-51092). Preverjeni napadalci lahko izvajajo poljubne ukaze v gostiteljskem sistemu, kar lahko povzroči popolno ogrožanje nadzorne infrastrukture.
LiteLLM SQL Injection in Proxy API Preverjanje ključa (CVE-2026-42208)
Različice LiteLLM od 1.81.16 do 1.83.6 vsebujejo kritično ranljivost vbrizgavanja SQL v logiki preverjanja ključa proxy API. Ta napaka omogoča nepreverjenim napadalcem, da obidejo nadzor nad preverjanjem pristnosti ali dostopajo do osnovne baze podatkov. Težava je odpravljena v različici 1.83.7.
Firebase Varnostna pravila: Preprečevanje nepooblaščene izpostavljenosti podatkov
Varnostna pravila Firebase so primarna obramba za brezstrežniške aplikacije, ki uporabljajo Firestore in Cloud Storage. Ko so ta pravila preveč permisivna, na primer dovoljevanje globalnega dostopa za branje ali pisanje v produkciji, lahko napadalci zaobidejo predvideno logiko aplikacije in ukradejo ali izbrišejo občutljive podatke. Ta raziskava raziskuje pogoste napačne konfiguracije, tveganja privzetih nastavitev v 'testnem načinu' in kako implementirati nadzor dostopa na podlagi identitete.
Zaščita CSRF: obramba pred nepooblaščenimi spremembami stanja
Ponarejanje zahtev med spletnimi mesti (CSRF) ostaja pomembna grožnja spletnim aplikacijam. Ta raziskava raziskuje, kako sodobni okviri, kot je Django, izvajajo zaščito in kako atributi na ravni brskalnika, kot je SameSite, zagotavljajo poglobljeno obrambo pred nepooblaščenimi zahtevami.
API Varnostni kontrolni seznam: 12 stvari, ki jih morate preveriti pred objavo
API-ji so hrbtenica sodobnih spletnih aplikacij, vendar pogosto nimajo varnostne strogosti tradicionalnih vmesnikov. Ta raziskovalni članek opisuje bistven kontrolni seznam za varovanje API-jev, s poudarkom na nadzoru dostopa, omejevanju hitrosti in skupni rabi virov med izvori (CORS), da se prepreči vdor podatkov in zloraba storitev.
API Uhajanje ključa: Tveganja in sanacije v sodobnih spletnih aplikacijah
Trdo kodirane skrivnosti v kodi čelnega vmesnika ali zgodovini repozitorija omogočajo napadalcem, da se lažno predstavljajo kot storitve, dostopajo do zasebnih podatkov in imajo stroške. Ta članek obravnava tveganja uhajanja skrivnosti ter potrebne korake za čiščenje in preprečevanje.
CORS Napačna konfiguracija: Tveganja preveč permisivnih pravilnikov
Skupna raba virov navzkrižnega izvora (CORS) je mehanizem brskalnika, zasnovan za sprostitev politike istega izvora (SOP). Čeprav je potrebna za sodobne spletne aplikacije, lahko neustrezna izvedba, kot je ponavljanje naslova Origin vlagatelja zahteve ali dodajanje »ničelnega« izvora na seznam dovoljenih, zlonamernim mestom omogoči, da izločijo zasebne uporabniške podatke.
Zaščita MVP: Preprečevanje uhajanja podatkov v aplikacijah SaaS, ki jih ustvari AI
Hitro razvite aplikacije SaaS pogosto trpijo zaradi kritičnih varnostnih spregledov. Ta raziskava raziskuje, kako razkrite skrivnosti in pokvarjene kontrole dostopa, kot je manjkajoča varnost na ravni vrstic (RLS), ustvarjajo ranljivosti z velikim vplivom v sodobnih spletnih nizih.