// дослідження вразливостей
Дослідження вразливостей для вебсайтів та застосунків, створених за допомогою ШІ.
Нотатки на основі джерел про вразливості, що мають значення для вебзастосунків, створених ШІ, BaaS-стеків, фронтенд-бандлів, автентифікації та безпеки залежностей.
Впровадження SQL у вміст-привид API (CVE-2026-26980)
Примарні версії 3.24.0–6.19.0 містять критичну вразливість SQL-ін’єкції у вмісті API. Це дозволяє неавтентифікованим зловмисникам виконувати довільні команди SQL, що потенційно може призвести до викрадання даних або несанкціонованих змін.
Усі дослідження
34 статей
Віддалене виконання коду в SPIP за допомогою тегів шаблону (CVE-2016-7998)
Версії SPIP 3.1.2 і раніші містять уразливість у редакторі шаблонів. Автентифіковані зловмисники можуть завантажувати HTML-файли зі створеними тегами INCLUDE або INCLURE для виконання довільного коду PHP на сервері.
Розкриття інформації про конфігурацію ZoneMinder Apache (CVE-2016-10140)
На ZoneMinder версій 1.29 і 1.30 впливає неправильна конфігурація HTTP-сервера Apache. Цей недолік дозволяє віддаленим, неавтентифікованим зловмисникам переглядати кореневий каталог веб-сайту, що потенційно може призвести до розкриття конфіденційної інформації та обходу автентифікації.
Next.js Неправильна конфігурація заголовка безпеки в next.config.js
Програми Next.js, які використовують next.config.js для керування заголовками, чутливі до прогалин у безпеці, якщо шаблони зіставлення шляху є неточними. У цьому дослідженні досліджується, як неправильні конфігурації символів підстановки та регулярних виразів призводять до відсутності заголовків безпеки на конфіденційних маршрутах і як посилити конфігурацію.
Невідповідна конфігурація заголовка безпеки
Веб-додатки часто не можуть реалізувати основні заголовки безпеки, залишаючи користувачів підданими міжсайтовому сценарію (XSS), клікджекінгу та впровадженню даних. Дотримуючись встановлених інструкцій з веб-безпеки та використовуючи такі інструменти аудиту, як MDN Observatory, розробники можуть значно захистити свої програми від поширених атак на основі браузера.
Пом’якшення OWASP 10 основних ризиків у швидкій веб-розробці
Незалежні хакери та невеликі команди часто стикаються з унікальними проблемами безпеки під час швидкої доставки, особливо з кодом, згенерованим AI. У цьому дослідженні висвітлюються повторювані ризики з категорій CWE Top 25 і OWASP, включаючи несправний контроль доступу та незахищені конфігурації, забезпечуючи основу для автоматизованих перевірок безпеки.
Незахищені конфігурації заголовків HTTP в програмах, згенерованих AI
Програми, створені помічниками AI, часто не мають важливих заголовків безпеки HTTP, що не відповідає сучасним стандартам безпеки. Це упущення робить веб-програми вразливими до типових атак на стороні клієнта. Використовуючи такі тести, як Mozilla HTTP Observatory, розробники можуть визначити відсутні засоби захисту, такі як CSP і HSTS, щоб покращити рівень безпеки своїх програм.
Виявлення та запобігання вразливостям міжсайтового сценарію (XSS)
Міжсайтовий сценарій (XSS) виникає, коли програма містить ненадійні дані на веб-сторінці без належної перевірки чи кодування. Це дозволяє зловмисникам виконувати шкідливі сценарії у браузері жертви, що призводить до викрадення сеансу, несанкціонованих дій і розкриття конфіденційних даних.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Критична вразливість SQL-ін’єкції (CVE-2026-42208) у проксі-компоненті LiteLLM дозволяє зловмисникам обійти автентифікацію або отримати доступ до конфіденційної інформації бази даних, використовуючи процес перевірки ключа API.
Ризики безпеки кодування Vibe: перевірка коду, створеного AI
Розвиток «кодування Vibe» — створення додатків переважно за допомогою швидкої підказки AI — створює такі ризики, як жорстко закодовані облікові дані та незахищені шаблони коду. Оскільки моделі AI можуть пропонувати код на основі навчальних даних, що містять уразливості, їхні результати слід розглядати як ненадійні та перевіряти за допомогою автоматизованих засобів сканування, щоб запобігти розкриттю даних.
Безпека JWT: ризики незахищених токенів і відсутності перевірки претензій
Веб-токени JSON (JWT) забезпечують стандарт для передачі претензій, але безпека залежить від суворої перевірки. Неможливість перевірити підписи, час закінчення терміну дії або цільову аудиторію дозволяє зловмисникам обійти автентифікацію або відтворити маркери.
Захист розгортань Vercel: найкращі методи захисту та заголовків
Це дослідження вивчає конфігурації безпеки для додатків, розміщених на Vercel, зосереджуючись на захисті розгортання та користувацьких заголовках HTTP. Тут пояснюється, як ці функції захищають середовища попереднього перегляду та застосовують політики безпеки на стороні браузера, щоб запобігти несанкціонованому доступу та поширеним веб-атакам.
Ін’єкція критичної команди ОС у LibreNMS (CVE-2024-51092)
Версії LibreNMS до 24.9.1 містять критичну вразливість впровадження команд ОС (CVE-2024-51092). Автентифіковані зловмисники можуть виконувати довільні команди на хост-системі, що потенційно може призвести до повної компрометації інфраструктури моніторингу.
Ін’єкція SQL LiteLLM у проксі API Перевірка ключа (CVE-2026-42208)
LiteLLM версій 1.81.16–1.83.6 містить критичну вразливість SQL-ін’єкції в логіці перевірки ключа проксі API. Цей недолік дозволяє неавтентифікованим зловмисникам обійти елементи керування автентифікацією або отримати доступ до основної бази даних. Проблему вирішено у версії 1.83.7.
Firebase Правила безпеки: запобігання несанкціонованому розкриттю даних
Firebase Правила безпеки є основним захистом для безсерверних програм, які використовують Firestore і Cloud Storage. Якщо ці правила є надто дозволеними, наприклад, дозволяючи глобальний доступ для читання або запису в робочому стані, зловмисники можуть обійти призначену логіку програми, щоб викрасти або видалити конфіденційні дані. У цьому дослідженні досліджуються поширені неправильні конфігурації, ризики за замовчуванням у «тестовому режимі» та способи реалізації контролю доступу на основі ідентичності.
Захист CSRF: захист від несанкціонованих змін стану
Міжсайтова підробка запитів (CSRF) залишається значною загрозою для веб-додатків. Це дослідження досліджує, як сучасні фреймворки, такі як Django, реалізують захист і як атрибути на рівні браузера, такі як SameSite, забезпечують глибокий захист від несанкціонованих запитів.
API Контрольний список безпеки: 12 речей, які слід перевірити перед запуском
API є основою сучасних веб-додатків, але їм часто не вистачає суворості безпеки традиційних інтерфейсів. У цій дослідницькій статті викладено важливий контрольний список для захисту API, зосереджуючись на контролі доступу, обмеженні швидкості та спільному використанні ресурсів між джерелами (CORS), щоб запобігти витоку даних і зловживанню послугами.
API Витік ключа: ризики та усунення в сучасних веб-програмах
Жорстко закодовані секрети в коді зовнішнього інтерфейсу або історії сховища дозволяють зловмисникам видавати себе за служби, отримувати доступ до приватних даних і нести витрати. У цій статті описано ризики витоку секрету та необхідні кроки для очищення та запобігання.
CORS Неправильна конфігурація: ризики надмірно дозвільних політик
Спільне використання ресурсів між джерелами (CORS) — це механізм веб-переглядача, розроблений для пом’якшення політики однакового походження (SOP). Незважаючи на те, що це необхідно для сучасних веб-додатків, неправильна реалізація, як-от відтворення заголовка Origin запитувача або додавання «нульового» джерела в білий список, може дозволити зловмисним сайтам викрадати приватні дані користувача.
Захист MVP: запобігання витоку даних у додатках SaaS, згенерованих AI
Швидко розроблені програми SaaS часто страждають від критичних недоліків безпеки. У цьому дослідженні досліджується, як витік секретів і несправні елементи керування доступом, наприклад відсутність безпеки на рівні рядка (RLS), створюють серйозні вразливості в сучасних веб-стеках.