Seokchan Yoon's Blog

Latest

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

こんにちは、ユン・ソクチャンです。主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と-ツイートしました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち2件が有効なsecurity issueと判断され、CVEが発行されました。（CVE-2025-64458、CVE-2025-64460）そして、同じプロンプトを用いて Python ベースの有名な Web フレームワークである FastAPI（正確には Starlette）において CVE-2025-62727 の脆弱性1件を発見し、報告しました。 LLMだけで見つけた初めての脆弱性だったため、こ

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

DEF CON 33 CTF Review

DEF CON 33 CTF Review

DEF CON 33 CTF 후기

DEF CON 33 CTF 후기

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

1-day

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

こんにちは、ユン・ソクチャンです。主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と-ツイートしました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち2件が有効なsecurity issueと判断され、CVEが発行されました。（CVE-2025-64458、CVE-2025-64460）そして、同じプロンプトを用いて Python ベースの有名な Web フレームワークである FastAPI（正確には Starlette）において CVE-2025-62727 の脆弱性1件を発見し、報告しました。 LLMだけで見つけた初めての脆弱性だったため、こ

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

django

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

こんにちは、ユン・ソクチャンです。主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と-ツイートしました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち2件が有効なsecurity issueと判断され、CVEが発行されました。（CVE-2025-64458、CVE-2025-64460）そして、同じプロンプトを用いて Python ベースの有名な Web フレームワークである FastAPI（正確には Starlette）において CVE-2025-62727 の脆弱性1件を発見し、報告しました。 LLMだけで見つけた初めての脆弱性だったため、こ

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

xss

Django Rest Frameworkの限定的なXSSバグ

Django Rest Frameworkの限定的なXSSバグ

こんにちは。韓国でウェブハッキングを（特に offensive security ）しているユンソクチャンともうします。最近、日本語を勉強していて、日本で仕事をしたいと思いますので、この文は日本語でも翻訳します。 x.comX (formerly Twitter) じゃあー、よろしくお願いします。 3行要約 * Django Rest Frameworkで特定の状況においてXSS脆弱性が発生する可能性があることを探しました。 * 実際には『セキュリティ脆弱性』ではなく、このような Potential Bug が発生する可能性がある程度の問題です。 * 日本が好きな韓国人として、日本人ハッカーのみなさんと仲良くなりたいです。 Intro 今年のはじめ、Django Rest Frameworkのソースコードを分析し、XSS攻撃に脆弱なコードを探しました。このイッシュは Django Security チームには報告したので、私の blog にこうやって報告書の感じで整理してみます。みなさんは下のコードで XSSができると思いますか。それならば、なぜできたのだと思

Potential XSS bug found in Django Rest Framework

Potential XSS bug found in Django Rest Framework

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

XSS Exception Bypass using Hoisting 🧙‍♂️

XSS Exception Bypass using Hoisting 🧙‍♂️

xss

More

Django Rest Frameworkの限定的なXSSバグ

Potential XSS bug found in Django Rest Framework

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

XSS Exception Bypass using Hoisting 🧙‍♂️

korean

More

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

DEF CON 33 CTF 후기

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

2024년 회고

Project

More

Scanning ReDoS in Python Automatically

Kyung Hee University's SW Security Competition: From Concept to Reality

Project: Chrome Dino Game with Body Gesture