Latest

$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。

こんにちは、ユン・ソクチャンです。 主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。 下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。 二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と-ツイートしました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち2件が有効なsecurity issueと判断され、CVEが発行されました。（CVE-2025-64458、CVE-2025-64460） そして、同じプロンプトを用いて Python ベースの有名な Web フレームワークである FastAPI（正確には Starlette）において CVE-2025-62727 の脆弱性1件を発見し、報告しました。 LLMだけで見つけた初めての脆弱性だったため、こ

How I Found a $2,418 Vulnerabilities with a $5 Prompt

Hi I'm Seokchan Yoon. Currently working for blockchain security audit company Zellic.io and also a member of the security team of Apache Foundation's Airflow project Two months ago, I've twitted by saying that I'd found two reportable bugs for just $5.

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

안녕하세요. 윤석찬입니다. 현재 미국을 기점으로 하는 블록체인 보안 Audit 회사 Zellic에서, 그리고 Apache Foundation 산하 Airflow 프로젝트의 보안팀으로 일하고 있습니다. 얼마 전, 제 트위터 채널를 통해 $5로 2개의 reportable한 버그를 찾았다고 어그로를 끌었습니다. 결론부터 말씀드리자면 LLM을 통해 찾고 Django Security Team에 제보한 버그는 총 6개였고, 그 중 팀에서 유효한 security

DEF CON 33 CTF Review

Translated from the original Korean post published on my blog. This August, my very first DEF CON came to a close. From Friday, August 8 to Sunday, August 10 (Pacific Time, UTC‑8), I competed in the DEF CON 33 CTF finals — billed as the world’s biggest hacking competition

DEF CON 33 CTF 후기

지난주 제 인생 첫 DEF CON이 막을 내렸습니다. 미국 태평양 시간 (UTC-8) 기준으로 8월 8일 금요일부터 10일 일요일까지 지상 최대 해킹대회인 DEF CON 33 CTF finals에 Cold Fusion 팀으로 참가했고, 전체 12팀 중 10위를 기록했습니다. 결론부터 말씀드리자면 저는 팀에 유의미한 기여는 하지 못했습니다. 담백하게 후기나 남겨보고자 합니다.

Is Airflow Truly Safe? ー With Reviews of Disclosed Vulnerabilities

Hello, this is Seokchan Yoon. This July, I officially joined the Apache Airflow Security Team. For those unfamiliar, Airflow is an open-source workflow management platform managed by the Apache Software Foundation. It's a Python-based tool that has become popular in the data analytics field for building data pipelines.

Airflow, 과연 안전할까? ー 보안 취약점 리뷰

안녕하세요. 윤석찬입니다. 올해 7월부터 제가 Airflow의 Security Team에 합류하게 되었습니다. Airflow는 Apache 소프트웨어 재단에서 관리하고 있는 워크플로우 관리용 오픈소스 프로젝트로, 최근 데이터 분석 분야에서 데이터 파이프라인 구축에 자주 사용되고 있는 파이썬 기반 소프트웨어입니다. Security team에 정식으로 합류하게 된 것을 기념으로 블로그에 ‘Airflow는 과연 안전한가?’에 대해 글을 작성해보고자 합니다. 이번

2024年を振り返って…

こんにちは、私はユン·ソクチャンと申します。韓国で Offensive Security をしています。 皆様、2024年はどうでしたか？私は今年、韓国の男性だったら避けられない軍隊でいって、誰よりも長い一年を過ごしました。この文は、私が君隊の中で生活しながら達成した事を皆様にアピールするために作成されました。 ここで私のついてもっと詳しく読めます。 ch4n3.kr 一つ目、ホワイトハットコンテスト優勝 ホワイトハットコンテスト、兵士の部門で一位で、韓国の国防部長官賞をもらいました！ たぶん日本の方たちはこの［ワイトハットコンテスト］という大会についてよく知らない方も多いと思っています。韓国の情報器官である国家情報院の説明に従うと、韓国の3大CTFは… * 科学技術情報通信部の主催の、CODEGATE CTF * 国防部の主催の、WHITEHAT CONTEST * 国家情報院の主催の、CCE（Cyber Conflict Excercise） でございます。私が昨年に参加した「WHITEHAT CONTEST」とは、この三つの中で軍の焦点を合わせた大会であり

2024년 회고

안녕하세요, 윤석찬입니다. 2024년 다들 세우셨던 목표를 이루셨는지요? 저는 군생활로 여느 해보다 긴 한 해를 보냈습니다. 군생활 동안 이루었던 성과를 공유하고자 이 글을 작성하게 되었습니다.

(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework

이번 파이콘 한국 2024에서 ‘해커의 관점으로 바라본 Django Framework’ 를 주제로 발표한 윤석찬이라고 합니다. 중학생 때부터 컴퓨터를 잘하시는 분들이 발표하러 가셨던, 그래서 열망의 대상이었던 '파이콘'에서, 그것도 10주년 기념 행사에서 발표를 하게 되어 정말 영광스러웠습니다. 네트워킹을 하면서 발표자 / 참가자 / 기획 및 자원봉사자 분들의 열정을 얻을 수 있었기에 의미있는

Pythonの脆弱性CVE-2024-7592とDjangoへの影響

こんにちは、ユンソクチャンと申します。最近、私がPythonチームに報告した脆弱性が公開されました。 この脆弱性は、CVSS 3.xの基準で10点中7.5点で、「高い」深刻度と評価されました。この問題を悪用すると、インターネット上のすべてのDjangoサーバーでDoS（サービス拒否）攻撃を引き起こす可能性がありました。 Pythonの正規表現とReDoS脆弱性 正規表現はテキスト処理でよく使われる強力なツールです。しかし、正規表現が複雑になると、解析や一致を見つける計算量が急激に増加することがあります。Pythonのreモジュールはバックトラッキングを使う方法で正規表現を処理します。この方法では、特定の入力で計算時間が指数関数的に増えることがあります。 import re # the example of complex regex string complex_regex = re.compile("(a+)+$") def check_complex_string(s): return complex_regex.match(s) payload = "

Your Django App Is Vulnerable to DoS Attacks: Update Your Python Version Now

Hi, I'm Seokchan Yoon. Recently, a vulnerability I reported to the Python Project was made public. The vulnerability, known as CVE-2024-7592, has a severity score of 7.5 out of 10 according to CVSS 3.x, which is considered 'High'. If it's exploited, it

Django 사용자들이 무조건 Python 버전 업데이트를 해야하는 이유

안녕하세요. 윤석찬입니다. 최근 제가 Python의 CPython 라이브러리에 제보한 취약점이 공개되었습니다. CVSS 3.x 기준 Serverity는 10점 만점 중 7.5점으로 심각도는 '높음'으로 평가되었고, 해당 취약점을 악용하면 인터넷에 노출된 모든 Django 서버에 DoS를 유발시킬 수 있었습니다. 본 글에서는 파이썬의 표준 라이브러리 중 하나인 http.cookies 모듈의 _unquote() 메소드에서

Django Rest Frameworkの限定的なXSSバグ

こんにちは。韓国でウェブハッキングを（特に offensive security ）しているユンソクチャンともうします。最近、日本語を勉強していて、日本で仕事をしたいと思いますので、この文は日本語でも翻訳します。 x.comX (formerly Twitter) じゃあー、よろしくお願いします。 3行要約 * Django Rest Frameworkで特定の状況においてXSS脆弱性が発生する可能性があることを探しました。 * 実際には『セキュリティ脆弱性』ではなく、このような Potential Bug が発生する可能性がある程度の問題です。 * 日本が好きな韓国人として、日本人ハッカーのみなさんと仲良くなりたいです。 Intro 今年のはじめ、Django Rest Frameworkのソースコードを分析し、XSS攻撃に脆弱なコードを探しました。このイッシュは Django Security チームには報告したので、私の blog にこうやって報告書の感じで整理してみます。 みなさんは下のコードで XSSができると思いますか。それならば、なぜできたのだと思

Potential XSS bug found in Django Rest Framework

안녕하세요 웹 해킹을 하고 있는 윤석찬입니다. 오랜만에 인사드립니다. 이번에는 한국 분들에게도 제 블로그를 노출시키고자, 한국어로 글을 쓰게 되었습니다. 최근 Django Rest Framework 소스코드를 살펴보다가, 부주의하게 사용했을 경우 XSS 공격으로부터 취약할 수 있는 기능을 발견해서 블로그에 정리해봅니다. 이미 Django Security 팀에는 report를 되어 인지된 이슈이기 때문에 블로그에 게시해도 되겠다 싶었고, 무엇보다

Review for Recent Django Security Issues － CVE-2024-24680, CVE-2024-27351

CVE-2024-24680: Potential denial-of-service in intcomma template filter TL;DR The intcomma template filter was subject to a potential denial-of-service attack when used with very long strings. Your Django server can be under affected denial-of-service issue if you have the code like below, that intcomma template filter uses the value user

Bypassing DOMPurify for Successful XSS Execution: namespace confusion

Introduce In the past, I often recommended the DOMPurify library as a robust solution for preventing XSS vulnerabilities, particularly when a web service needs to render HTML code input by users. Its effectiveness was such that I believed bypassing it to execute an XSS attack was virtually impossible, especially when

Do not use `maildev` anyway 💣

Introduce Do you guys know maildev application to run temporary mail server? maildev is open-sourced SMTP Server + Web Interface for viewing and testing emails during development. To say conclusionally, DO NOT USE THIS SOFTWARE. Hackers can force-write existing source codes and completely takeover the server. This program has not been

XSS Exception Bypass using Hoisting 🧙‍♂️

Recently, I stumbled upon some intriguing XSS tricks on Twitter and couldn't resist sharing my solutions. Let's dive into a fascinating XSS challenge and explore how we can outsmart it with JavaScript's hoisting mechanism. Somebody asked me recently if you can exploit an XSS

CVE-2023-36053: Potential ReDoS in EmailValidator/URLValidator

Hi! This is Seokchan Yoon studying Offensive Security in Korea. 🇰🇷 __ 1. Introduction On July 3rd, 2023, my first CVE was published! * https://www.djangoproject.com/weblog/2023/jul/03/security-releases/ * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36053 You can briefly check the details of the vulnerability that I

Scanning ReDoS in Python Automatically

Hi, this is Seokchan Yoon. I'm currently taking a compiler course at KyungHee University this semester. Despite the short duration, I've had the pleasure of delving into intriguing topics, ranging from Lexing and Parsing algorithms to Abstract Syntax Trees (AST), Intermediate Representations (IR), and basic compiler

팀플은 좀 더 공격적일 필요가 있다.

재학하는 4년 동안, 그리고 실무를 맡으면서 경험했었던 수많은 팀플들에서 굉장히 공통적인 특성을 발견했는데 바로 "사린다는 것". 상대방이 공격당한다고 느낄 것만 같아서, 그리고 그와 동시에 나에게도 그 공격이 돌아올까봐 겁나서 자신의 의견을 못 내고 쭈뼛쭈뼛 굴고야 마는것이다. 이게 뭐가 문제인지는 다들 한 번 쯤 경험해 봤을 것이다.회의 딱

Kyung Hee University's SW Security Competition: From Concept to Reality

Introduction Hi, I'm Seokchan Yoon. It's been a long time that I'm posting an article on my new blog 😅 Last year, in 2022, I had the honor of organizing a security competition for the students at my university, Kyung Hee University in Korea. It

CVE-2023-23969: Potential denial-of-service via Accept-Language headers

Overview Hi guys, this is Seokchan Yoon. The Django security vulnerability has released on February 1, 2023. Because I have big interest in Django, so I analyze this issue just in time. To see the detail for this issue, click the link below. Django security releases issued: 4.1.6,

Project: Chrome Dino Game with Body Gesture

Overview Hi guys. This is Seokchan Yoon. Have you ever played Dino Game which can play on your Chrome browser when you are off-line? This game is so popular for its simplicity and enjoyment. I remember that I played this a lot with my friends when I was in high

Songs to recommend, Jan of 2023

Implementing Logging for Signing in, at django `graphene_jwt`

개요 2020년에 진행했던 회사 프로젝트 중에 Django와 GraphQL을 사용한 프로젝트가 있었다. 사용자의 이용 기록을 저장해야 할 필요가 있던 프로젝트라 사용자가 로그인하는 것을 포함해서 행위를 기록하는 기능을 추가해야했다. 근데 누군가 만들어 둔 패키지에는 로깅 기능을 별도로 추가할 수 있는 기능은 없었고, 이것을 어떻게 해결했는지 기록하는 글이다. 본문 빠르게 개발할 필요가 있던

CVE-2022-28347: Potential SQLi via QuerySet.explain() on PostgreSQL

CVE-2022-28347, Potential SQL injection in Django QuerySet explain() Analysis > https://github.com/advisories/GHSA-w24h-v9qh-8gxj 이 취약점은 PostgreSQL 환경에서 Django QuerySet의 explain 기능을 수행할 때 발생 가능한 SQL Injection 취약점이다. QuerySet 오브젝트의 explain() 메소드를 수행하면 EXPLAIN 명령어를 사용할 수 있다. 이 명령어를 사용할 때 MySQL과 PostgreSQL에서는 특별히 EXPLAIN 명령어에 옵션을

CVE-2022-34265: Potential SQLi via Trunc() and Extract()

개요 CVE-2022-34265: Potential SQL injection via Trunc(kind) and Extract(lookup_name) arguments 최근 우리 회사 슬랙 방에서 평소 존경하던 갓해커 분이 올려주신 Django SQL Injection CVE가 하나 있어서 분석해보았다. 아무래도 Django를 통해 사내 프로젝트, 학교 프로젝트를 몇 번씩 진행해본 경험이 있다보니 자칭 Django 전문가로서 CVE를 분석해보지 않고 지나칠 수가

보안뉴스에 제 발표가 기고되었습니다.

안녕하세요? 작년 (2022년) 6월, 회사 세미나 (STEALIEN Security Seminar; 3S)에서 발표할 기회가 생겨서 <모던 웹 어플리케이션에서의 버그케이스와 시큐어코딩>이라는 주제로 발표를 했습니다. 제가 고등학교 시절 참가했던 여러 해킹대회에서, 그리고 입사 후 참여한 모의해킹 프로젝트에서 겪었던 경험을 공유할 수 있는 소중한 시간이었습니다. 저는 STEALIEN에서 각종 프로젝트를 통해 Python3의

Coming Soon

새출발 안녕하세요. 윤석찬입니다. 기존에 사용하던 티스토리 블로그를 떠나 새로운 블로그에 정착해보려 합니다. 티스토리 자체가 영어보다는 한글에 초점이 맞춰진 플랫폼이기도 하고, 무엇보다 기존 블로그에서 떠나면서 새롭게 포트폴리오를 정리하고  싶은 마음이 들어서 새롭게 블로그를 만들게 되었습니다. 사실 Wordpress가 가장 유력한 후보였습니다만, node.js 기반의 Ghost를 접해보고 나서 이거다 싶었습니다. 그래서 바로 vultr