Seokchan Yoon

Seokchan Yoon

Hi guys! I'm Seokchan Yoon (Channy), a security researcher working at Seoul, Korea.

2024年を振り返って…

2024年を振り返って…

こんにちは、私はユン·ソクチャンと申します。韓国で Offensive Security をしています。皆様、2024年はどうでしたか？私は今年、韓国の男性だったら避けられない軍隊でいって、誰よりも長い一年を過ごしました。この文は、私が君隊の中で生活しながら達成した事を皆様にアピールするために作成されました。ここで私のついてもっと詳しく読めます。 ch4n3.kr 一つ目、ホワイトハットコンテスト優勝ホワイトハットコンテスト、兵士の部門で一位で、韓国の国防部長官賞をもらいました！たぶん日本の方たちはこの［ワイトハットコンテスト］という大会についてよく知らない方も多いと思っています。韓国の情報器官である国家情報院の説明に従うと、韓国の3大CTFは… * 科学技術情報通信部の主催の、CODEGATE CTF * 国防部の主催の、WHITEHAT CONTEST * 国家情報院の主催の、CCE（Cyber Conflict Excercise）でございます。私が昨年に参加した「WHITEHAT CONTEST」とは、この三つの中で軍の焦点を合わせた大会であり

2024년 회고

2024년 회고

안녕하세요, 윤석찬입니다. 2024년 다들 세우셨던 목표를 이루셨는지요? 저는 군생활로 여느 해보다 긴 한 해를 보냈습니다. 군생활 동안 이루었던 성과를 공유하고자 이 글을 작성하게 되었습니다.

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

이번 파이콘 한국 2024에서 ‘해커의 관점으로 바라본 Django Framework’ 를 주제로 발표한 윤석찬이라고 합니다. 중학생 때부터 컴퓨터를 잘하시는 분들이 발표하러 가셨던, 그래서 열망의 대상이었던 '파이콘'에서, 그것도 10주년 기념 행사에서 발표를 하게 되어 정말 영광스러웠습니다. 네트워킹을 하면서 발표자 / 참가자 / 기획 및 자원봉사자 분들의 열정을 얻을 수 있었기에 의미있는 자리였습니다. 특히 짧은

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

こんにちは、ユンソクチャンと申します。最近、私がPythonチームに報告した脆弱性が公開されました。この脆弱性は、CVSS 3.xの基準で10点中7.5点で、「高い」深刻度と評価されました。この問題を悪用すると、インターネット上のすべてのDjangoサーバーでDoS（サービス拒否）攻撃を引き起こす可能性がありました。 Pythonの正規表現とReDoS脆弱性正規表現はテキスト処理でよく使われる強力なツールです。しかし、正規表現が複雑になると、解析や一致を見つける計算量が急激に増加することがあります。Pythonのreモジュールはバックトラッキングを使う方法で正規表現を処理します。この方法では、特定の入力で計算時間が指数関数的に増えることがあります。 import re # the example of complex regex string complex_regex = re.compile("(a+)+$") def check_complex_string(s): return complex_regex.match(s) payload = "aaa

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

Hi, I'm Seokchan Yoon. Recently, a vulnerability I reported to the Python Project was made public. The vulnerability, known as CVE-2024-7592, has a severity score of 7.5 out of 10 according to CVSS 3.x, which is considered 'High'. If it's exploited, it could cause a Denial of Service

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

안녕하세요. 윤석찬입니다. 최근 제가 Python의 CPython 라이브러리에 제보한 취약점이 공개되었습니다. CVSS 3.x 기준 Serverity는 10점 만점 중 7.5점으로 심각도는 '높음'으로 평가되었고, 해당 취약점을 악용하면 인터넷에 노출된 모든 Django 서버에 DoS를 유발시킬 수 있었습니다. 본 글에서는 파이썬의 표준 라이브러리 중 하나인 http.cookies 모듈의 _unquote() 메소드에서 발견된 서비스 거부(

Django Rest Frameworkの限定的なXSSバグ

Django Rest Frameworkの限定的なXSSバグ

こんにちは。韓国でウェブハッキングを（特に offensive security ）しているユンソクチャンともうします。最近、日本語を勉強していて、日本で仕事をしたいと思いますので、この文は日本語でも翻訳します。 x.comX (formerly Twitter) じゃあー、よろしくお願いします。 3行要約 * Django Rest Frameworkで特定の状況においてXSS脆弱性が発生する可能性があることを探しました。 * 実際には『セキュリティ脆弱性』ではなく、このような Potential Bug が発生する可能性がある程度の問題です。 * 日本が好きな韓国人として、日本人ハッカーのみなさんと仲良くなりたいです。 Intro 今年のはじめ、Django Rest Frameworkのソースコードを分析し、XSS攻撃に脆弱なコードを探しました。このイッシュは Django Security チームには報告したので、私の blog にこうやって報告書の感じで整理してみます。みなさんは下のコードで XSSができると思いますか。それならば、なぜできたのだと思