Latest

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

이번 파이콘 한국 2024에서 ‘해커의 관점으로 바라본 Django Framework’ 를 주제로 발표한 윤석찬이라고 합니다. 중학생 때부터 컴퓨터를 잘하시는 분들이 발표하러 가셨던, 그래서 열망의 대상이었던 '파이콘'에서, 그것도 10주년 기념 행사에서 발표를 하게 되어 정말 영광스러웠습니다. 네트워킹을 하면서 발표자 / 참가자 / 기획 및 자원봉사자 분들의 열정을 얻을 수 있었기에 의미있는 자리였습니다. 특히 짧은
Seokchan Yoon
Pythonの脆弱性CVE-2024-7592とDjangoへの影響

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

こんにちは、ユンソクチャンと申します。最近、私がPythonチームに報告した脆弱性が公開されました。 この脆弱性は、CVSS 3.xの基準で10点中7.5点で、「高い」深刻度と評価されました。この問題を悪用すると、インターネット上のすべてのDjangoサーバーでDoS(サービス拒否)攻撃を引き起こす可能性がありました。 Pythonの正規表現とReDoS脆弱性 正規表現はテキスト処理でよく使われる強力なツールです。しかし、正規表現が複雑になると、解析や一致を見つける計算量が急激に増加することがあります。Pythonのreモジュールはバックトラッキングを使う方法で正規表現を処理します。この方法では、特定の入力で計算時間が指数関数的に増えることがあります。 import re # the example of complex regex string complex_regex = re.compile("(a+)+$") def check_complex_string(s): return complex_regex.match(s) payload = "aaa
Seokchan Yoon
Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

안녕하세요. 윤석찬입니다. 최근 제가 Python의 CPython 라이브러리에 제보한 취약점이 공개되었습니다. CVSS 3.x 기준 Serverity는 10점 만점 중 7.5점으로 심각도는 '높음'으로 평가되었고, 해당 취약점을 악용하면 인터넷에 노출된 모든 Django 서버에 DoS를 유발시킬 수 있었습니다. 본 글에서는 파이썬의 표준 라이브러리 중 하나인 http.cookies 모듈의 _unquote() 메소드에서 발견된 서비스 거부(
Seokchan Yoon
Django Rest Frameworkの限定的なXSSバグ

Django Rest Frameworkの限定的なXSSバグ

こんにちは。韓国でウェブハッキングを(特に offensive security )しているユンソクチャンともうします。最近、日本語を勉強していて、日本で仕事をしたいと思いますので、この文は日本語でも翻訳します。 x.comX (formerly Twitter) じゃあー、よろしくお願いします。 3行要約 * Django Rest Frameworkで特定の状況においてXSS脆弱性が発生する可能性があることを探しました。 * 実際には『セキュリティ脆弱性』ではなく、このような Potential Bug が発生する可能性がある程度の問題です。 * 日本が好きな韓国人として、日本人ハッカーのみなさんと仲良くなりたいです。 Intro 今年のはじめ、Django Rest Frameworkのソースコードを分析し、XSS攻撃に脆弱なコードを探しました。このイッシュは Django Security チームには報告したので、私の blog にこうやって報告書の感じで整理してみます。 みなさんは下のコードで XSSができると思いますか。それならば、なぜできたのだと思
Seokchan Yoon
Potential XSS bug found in Django Rest Framework

Potential XSS bug found in Django Rest Framework

안녕하세요 웹 해킹을 하고 있는 윤석찬입니다. 오랜만에 인사드립니다. 이번에는 한국 분들에게도 제 블로그를 노출시키고자, 한국어로 글을 쓰게 되었습니다. 최근 Django Rest Framework 소스코드를 살펴보다가, 부주의하게 사용했을 경우 XSS 공격으로부터 취약할 수 있는 기능을 발견해서 블로그에 정리해봅니다. 이미 Django Security 팀에는 report를 되어 인지된 이슈이기 때문에 블로그에 게시해도 되겠다 싶었고, 무엇보다
Seokchan Yoon
팀플은 좀 더 공격적일 필요가 있다.

팀플은 좀 더 공격적일 필요가 있다.

재학하는 4년 동안, 그리고 실무를 맡으면서 경험했었던 수많은 팀플들에서 굉장히 공통적인 특성을 발견했는데 바로 "사린다는 것". 상대방이 공격당한다고 느낄 것만 같아서, 그리고 그와 동시에 나에게도 그 공격이 돌아올까봐 겁나서 자신의 의견을 못 내고 쭈뼛쭈뼛 굴고야 마는것이다. 이게 뭐가 문제인지는 다들 한 번 쯤 경험해 봤을 것이다.회의 딱 시작해놓고 무슨
Seokchan Yoon
Implementing Logging for Signing in, at django `graphene_jwt`

Implementing Logging for Signing in, at django `graphene_jwt`

개요 2020년에 진행했던 회사 프로젝트 중에 Django와 GraphQL을 사용한 프로젝트가 있었다. 사용자의 이용 기록을 저장해야 할 필요가 있던 프로젝트라 사용자가 로그인하는 것을 포함해서 행위를 기록하는 기능을 추가해야했다. 근데 누군가 만들어 둔 패키지에는 로깅 기능을 별도로 추가할 수 있는 기능은 없었고, 이것을 어떻게 해결했는지 기록하는 글이다. 본문 빠르게 개발할 필요가 있던
Seokchan Yoon
CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

CVE-2022-28347, Potential SQL injection in Django QuerySet explain() Analysis > https://github.com/advisories/GHSA-w24h-v9qh-8gxj 이 취약점은 PostgreSQL 환경에서 Django QuerySet의 explain 기능을 수행할 때 발생 가능한 SQL Injection 취약점이다. QuerySet 오브젝트의 explain() 메소드를 수행하면 EXPLAIN 명령어를 사용할 수 있다. 이 명령어를 사용할 때 MySQL과 PostgreSQL에서는 특별히 EXPLAIN 명령어에 옵션을 지정할
Seokchan Yoon
CVE-2022-34265: Potential SQLi via Trunc() and Extract()

CVE-2022-34265: Potential SQLi via Trunc() and Extract()

개요 CVE-2022-34265: Potential SQL injection via Trunc(kind) and Extract(lookup_name) arguments 최근 우리 회사 슬랙 방에서 평소 존경하던 갓해커 분이 올려주신 Django SQL Injection CVE가 하나 있어서 분석해보았다. 아무래도 Django를 통해 사내 프로젝트, 학교 프로젝트를 몇 번씩 진행해본 경험이 있다보니 자칭 Django 전문가로서 CVE를 분석해보지 않고 지나칠 수가
Seokchan Yoon
보안뉴스에 제 발표가 기고되었습니다.

보안뉴스에 제 발표가 기고되었습니다.

안녕하세요? 작년 (2022년) 6월, 회사 세미나 (STEALIEN Security Seminar; 3S)에서 발표할 기회가 생겨서 <모던 웹 어플리케이션에서의 버그케이스와 시큐어코딩>이라는 주제로 발표를 했습니다. 제가 고등학교 시절 참가했던 여러 해킹대회에서, 그리고 입사 후 참여한 모의해킹 프로젝트에서 겪었던 경험을 공유할 수 있는 소중한 시간이었습니다. 저는 STEALIEN에서 각종 프로젝트를 통해 Python3의 Django, Flask
Seokchan Yoon
Coming Soon

Coming Soon

새출발 안녕하세요. 윤석찬입니다. 기존에 사용하던 티스토리 블로그를 떠나 새로운 블로그에 정착해보려 합니다. 티스토리 자체가 영어보다는 한글에 초점이 맞춰진 플랫폼이기도 하고, 무엇보다 기존 블로그에서 떠나면서 새롭게 포트폴리오를 정리하고  싶은 마음이 들어서 새롭게 블로그를 만들게 되었습니다. 사실 Wordpress가 가장 유력한 후보였습니다만, node.js 기반의 Ghost를 접해보고 나서 이거다 싶었습니다. 그래서 바로 vultr
Seokchan Yoon