A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)
A deep dive into CVE-2026-33033, a pre-auth CPU exhaustion issue in Django's multipart parser triggered by base64 file parts made mostly of whitespace.
Seokchan Yoon
단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)
Django의 `MultiPartParser`에서, `Content-Transfer-Encoding: base64` 파일 파트의 본문이 공백 위주로 구성되어 있을 때 발생하는 단일 요청 기반 CPU exhaustion 취약점을 다룹니다. 약 2.5MB 크기의 예시 요청 한 건으로 워커 하나가 약 5.3초간 묶입니다. 정상 요청 대비 약 2,100배 증폭됩니다.
$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。
LLMを使ってDjangoのセキュリティ問題を6件発見し、うち2件のCVEを取得。FastAPI/StarletteでもCVE-2025-62727を発見した経験を共有します。
How I Found a $2,418 Vulnerabilities with a $5 Prompt
How I used an LLM to find 6 security issues in Django, earning 2 CVEs (CVE-2025-64458, CVE-2025-64460), plus CVE-2025-62727 in FastAPI/Starlette.
$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰
LLM을 활용하여 Django에서 6건의 보안 이슈를 발견하고 2건의 CVE를 발급받은 경험을 공유합니다. CVE-2025-64458, CVE-2025-64460.
DEF CON 33 CTF Review
A write-up of my first DEF CON experience competing in the DEF CON 33 CTF finals as part of Team Cold Fusion, an all-Korean coalition.
DEF CON 33 CTF 후기
지난주 제 인생 첫 DEF CON이 막을 내렸습니다. 미국 태평양 시간 (UTC-8) 기준으로 8월 8일 금요일부터 10일 일요일까지 지상 최대 해킹대회인 DEF CON 33 CTF finals에 Cold Fusion 팀으로 참가했고, 전체 12팀 중 10위를 기록했습니다. 결론부터 말씀드리자면 저는 팀에 유의미한 기여는 하지 못했습니다. 담백하게 후기나 남겨보고자 합니다.