$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

2025.11.05 1-day 日本語 django

LLMを使ってDjangoのセキュリティ問題を6件発見し、うち2件のCVEを取得。FastAPI/StarletteでもCVE-2025-62727を発見した経験を共有します。

How I Found a $2,418 Vulnerabilities with a $5 Prompt

2025.11.04 1-day django

How I used an LLM to find 6 security issues in Django, earning 2 CVEs (CVE-2025-64458, CVE-2025-64460), plus CVE-2025-62727 in FastAPI/Starlette.

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

2025.09.29 1-day django 한국어

LLM을 활용하여 Django에서 6건의 보안 이슈를 발견하고 2건의 CVE를 발급받은 경험을 공유합니다. CVE-2025-64458, CVE-2025-64460.

DEF CON 33 CTF Review

2025.09.03 etc

A write-up of my first DEF CON experience competing in the DEF CON 33 CTF finals as part of Team Cold Fusion, an all-Korean coalition.

DEF CON 33 CTF 후기

2025.08.15 etc 한국어

지난주 제 인생 첫 DEF CON이 막을 내렸습니다. 미국 태평양 시간 (UTC-8) 기준으로 8월 8일 금요일부터 10일 일요일까지 지상 최대 해킹대회인 DEF CON 33 CTF finals에 Cold Fusion 팀으로 참가했고, 전체 12팀 중 10위를 기록했습니다. 결론부터 말씀드리자면 저는 팀에 유의미한 기여는 하지 못했습니다. 담백하게 후기나 남겨보고자 합니다.

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

2025.07.14 Apache Airflow 1-day

As an Apache Airflow Security Team member, I review three disclosed vulnerabilities to examine Airflow's security posture and what threats to prepare for.

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

2025.07.14 한국어 Apache Airflow 1-day

Apache Airflow Security Team 멤버로서 Airflow에서 발견된 보안 취약점 3건을 예로 들어 보안 위협과 대비 방법을 분석합니다.

2024年を振り返って…

2025.02.21 日本語

2024年の振り返り。ホワイトハットコンテスト優勝、Django・CPythonへのセキュリティ貢献、PyCon KR 2024発表、DEF CON 33 CTF出場の記録。

2024년 회고

2025.02.05 etc 한국어

안녕하세요, 윤석찬입니다. 2024년 다들 세우셨던 목표를 이루셨는지요? 저는 군생활로 여느 해보다 긴 한 해를 보냈습니다. 군생활 동안 이루었던 성과를 공유하고자 이 글을 작성하게 되었습니다.

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

2024.11.03 django 1-day

PyCon KR 2024에서 발표한 '해커의 관점으로 바라본 Django Framework' 내용을 정리했습니다. Django 보안 취약점 발견 경험을 공유합니다.

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

2024.09.18 1-day django

Python標準ライブラリhttp.cookiesのReDoS脆弱性 CVE-2024-7592 の分析。Djangoサーバーに対するDoS攻撃が可能。CVSS 7.5 High.

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

2024.09.18 django 1-day

Analysis of CVE-2024-7592, a ReDoS vulnerability in Python's http.cookies module that can cause DoS on any internet-facing Django server. CVSS 7.5 High.

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

2024.08.25 django 1-day

Python http.cookies 모듈의 _unquote()에서 발견한 ReDoS 취약점 CVE-2024-7592와 Django에 미치는 영향을 분석합니다. CVSS 7.5 High.

Django Rest Frameworkの限定的なXSSバグ

2024.06.06 django xss

Django Rest FrameworkのResponseクラスでヘッダーを直接指定する際に発生しうるXSS脆弱性を分析します。

Potential XSS bug found in Django Rest Framework

2024.05.18 django xss

Django Rest Framework의 Response 클래스에서 헤더를 직접 지정할 때 발생할 수 있는 XSS 취약점을 분석합니다.

Review for Recent Django Security Issues － CVE-2024-24680, CVE-2024-27351

2024.02.24 django 1-day

2024년 초 공개된 Django 보안 취약점 CVE-2024-24680 intcomma DoS와 CVE-2024-27351 Truncator ReDoS를 분석합니다.

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

2023.12.21 xss

Namespace confusion을 이용하여 DOMPurify의 XSS 필터링을 우회하는 기법을 분석합니다.

Do not use `maildev` anyway 💣

2023.12.18 1-day

maildev SMTP 서버에서 발견된 Arbitrary File Write를 통한 RCE 취약점을 분석합니다. CODEGATE 2023 웹 해킹 문제로도 출제되었습니다.

XSS Exception Bypass using Hoisting 🧙‍♂️

2023.12.05 xss

JavaScript의 hoisting 메커니즘을 활용하여 x.y(1,INJECT) 형태의 제한된 XSS 시나리오를 우회하는 기법을 소개합니다.

CVE-2023-36053: Potential ReDoS in EmailValidator/URLValidator

2023.07.07 django 1-day

Django EmailValidator와 URLValidator에서 발견한 ReDoS 취약점 CVE-2023-36053의 발견 과정과 분석. 저의 첫 번째 CVE입니다.

Scanning ReDoS in Python Automatically

2023.06.02 Project

Python AST를 활용하여 ReDoS 취약점을 자동으로 탐지하는 정적 분석 스캐너를 개발한 과정을 공유합니다.

팀플은 좀 더 공격적일 필요가 있다.

2023.04.12

팀 프로젝트에서 의견 충돌을 피하려는 소극적 태도가 오히려 결과물의 질을 떨어뜨린다는 이야기.

Kyung Hee University's SW Security Competition: From Concept to Reality

2023.04.10 Project

경희대학교 SW 보안 경진대회를 Docker 기반의 새로운 CTF 형식으로 기획하고 운영한 경험을 공유합니다.

CVE-2023-23969: Potential denial-of-service via Accept-Language headers

2023.02.06 django 1-day

Django의 Accept-Language 헤더 처리에서 발견된 DoS 취약점 CVE-2023-23969를 분석합니다. re.split()과 lru_cache의 조합이 원인입니다.

Project: Chrome Dino Game with Body Gesture

2023.02.01 Project

MediaPipe와 Teachable Machine을 활용하여 신체 제스처로 크롬 공룡 게임을 플레이하는 프로젝트입니다.

Implementing Logging for Signing in, at django `graphene_jwt`

2023.01.25 django

Django graphene_jwt에서 로그인 로깅 기능을 구현한 경험을 공유합니다. ObtainJSONWebToken 클래스를 상속하여 해결했습니다.

CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

2023.01.25 1-day django

PostgreSQL 환경에서 Django QuerySet의 explain() 메소드를 통해 발생하는 SQL Injection 취약점 CVE-2022-28347을 분석합니다.

CVE-2022-34265: Potential SQLi via Trunc() and Extract()

2023.01.21 1-day django

Django의 Trunc()과 Extract() 함수에서 발견된 SQL Injection 취약점 CVE-2022-34265를 분석합니다.

보안뉴스에 제 발표가 기고되었습니다.

2023.01.21 etc

STEALIEN Security Seminar에서 발표한 '모던 웹 어플리케이션에서의 버그케이스와 시큐어코딩' 내용이 보안뉴스에 기고되었습니다.

Coming Soon

2023.01.20 News

티스토리에서 Ghost로 이전한 새 블로그입니다. 보안 연구와 기술 이슈 해결 경험을 공유합니다.