Seokchan Yoon's Blog

Latest

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A deep dive into CVE-2026-33033, a pre-auth CPU exhaustion issue in Django's multipart parser triggered by base64 file parts made mostly of whitespace.

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

DEF CON 33 CTF Review

DEF CON 33 CTF Review

DEF CON 33 CTF 후기

DEF CON 33 CTF 후기

django

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A deep dive into CVE-2026-33033, a pre-auth CPU exhaustion issue in Django's multipart parser triggered by base64 file parts made mostly of whitespace.

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

1-day

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)

A deep dive into CVE-2026-33033, a pre-auth CPU exhaustion issue in Django's multipart parser triggered by base64 file parts made mostly of whitespace.

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

How I Found a $2,418 Vulnerabilities with a $5 Prompt

How I Found a $2,418 Vulnerabilities with a $5 Prompt

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

한국어

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

Django의 `MultiPartParser`에서, `Content-Transfer-Encoding: base64` 파일 파트의 본문이 공백 위주로 구성되어 있을 때 발생하는 단일 요청 기반 CPU exhaustion 취약점을 다룹니다. 약 2.5MB 크기의 예시 요청 한 건으로 워커 하나가 약 5.3초간 묶입니다. 정상 요청 대비 약 2,100배 증폭됩니다.

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

DEF CON 33 CTF 후기

DEF CON 33 CTF 후기

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

2024년 회고

2024년 회고

etc

More

DEF CON 33 CTF Review

DEF CON 33 CTF 후기

2024년 회고

보안뉴스에 제 발표가 기고되었습니다.

xss

More

Django Rest Frameworkの限定的なXSSバグ

Potential XSS bug found in Django Rest Framework

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

XSS Exception Bypass using Hoisting 🧙‍♂️

Project

More

Scanning ReDoS in Python Automatically

Kyung Hee University's SW Security Competition: From Concept to Reality

Project: Chrome Dino Game with Body Gesture