Seokchan Yoon

Seokchan Yoon

Hi guys! I'm Seokchan Yoon (Channy), a security researcher working at Seoul, Korea.
CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

CVE-2022-28347, Potential SQL injection in Django QuerySet explain() Analysis > https://github.com/advisories/GHSA-w24h-v9qh-8gxj 이 취약점은 PostgreSQL 환경에서 Django QuerySet의 explain 기능을 수행할 때 발생 가능한 SQL Injection 취약점이다. QuerySet 오브젝트의 explain() 메소드를 수행하면 EXPLAIN 명령어를 사용할 수 있다. 이 명령어를 사용할 때 MySQL과 PostgreSQL에서는 특별히 EXPLAIN 명령어에 옵션을 지정할
Seokchan Yoon
CVE-2022-34265: Potential SQLi via Trunc() and Extract()

CVE-2022-34265: Potential SQLi via Trunc() and Extract()

개요 CVE-2022-34265: Potential SQL injection via Trunc(kind) and Extract(lookup_name) arguments 최근 우리 회사 슬랙 방에서 평소 존경하던 갓해커 분이 올려주신 Django SQL Injection CVE가 하나 있어서 분석해보았다. 아무래도 Django를 통해 사내 프로젝트, 학교 프로젝트를 몇 번씩 진행해본 경험이 있다보니 자칭 Django 전문가로서 CVE를 분석해보지 않고 지나칠 수가
Seokchan Yoon
보안뉴스에 제 발표가 기고되었습니다.

보안뉴스에 제 발표가 기고되었습니다.

안녕하세요? 작년 (2022년) 6월, 회사 세미나 (STEALIEN Security Seminar; 3S)에서 발표할 기회가 생겨서 <모던 웹 어플리케이션에서의 버그케이스와 시큐어코딩>이라는 주제로 발표를 했습니다. 제가 고등학교 시절 참가했던 여러 해킹대회에서, 그리고 입사 후 참여한 모의해킹 프로젝트에서 겪었던 경험을 공유할 수 있는 소중한 시간이었습니다. 저는 STEALIEN에서 각종 프로젝트를 통해 Python3의 Django, Flask
Seokchan Yoon
Coming Soon

Coming Soon

새출발 안녕하세요. 윤석찬입니다. 기존에 사용하던 티스토리 블로그를 떠나 새로운 블로그에 정착해보려 합니다. 티스토리 자체가 영어보다는 한글에 초점이 맞춰진 플랫폼이기도 하고, 무엇보다 기존 블로그에서 떠나면서 새롭게 포트폴리오를 정리하고  싶은 마음이 들어서 새롭게 블로그를 만들게 되었습니다. 사실 Wordpress가 가장 유력한 후보였습니다만, node.js 기반의 Ghost를 접해보고 나서 이거다 싶었습니다. 그래서 바로 vultr
Seokchan Yoon