최근 게시물
Search

Introduction
2026년도 첫 번째 CTF로 Jeanne d'Hack CTF 2026 에 참여했습니다.
해당 CTF는 프랑스에서 개최되는 CTF로, 아쉽게 이번 대회에서는 전체 15위를 기록했지만..

Web 카테고리에서는 모든 문제를 해결할 수 있어서 조금의 만족감을 얻을 수 있었습니다.
[Jeanne d'Hack CTF 2026] Write-Up 작성 및 후기
CTF
2026/01/31

1. SXG(Signed Exchange) 란?
1.1 정의
Signed Exchange(SXG) 는 제3자(예: CDN)가 웹 리소스를 전달하면서도 콘텐츠의 무결성과 출처를 유지할 수 있게 하는 표준 기술입니다.
A 서버(a.com)가 SXG 파일(index.sxg)을 생성하여 제3자인 B 서버(b.com)에 배포한 경우, 사용자가 b.com/index.sxg 를 요청하더라도 브라우저는 원본 도메인(a.com)에서 온 것처럼 처리합니다.
따라서, SXG는 리소스가 어떤 경로로 전달되든 원본 출처를 인증할 수 있는 전달 메커니즘입니다.
Signed Exchange(SXG) - 서명된 교환
Web Security
2025/12/31

Introduction
최근 개인적인 일정으로 CTF 대회 참여를 잠시 쉬었다가, 약 3개월 만에 BuckeyeCTF 대회로 복귀하게 되었습니다.
BuckeyeCTF는 오하이오 주립대학교 사이버 보안 클럽 학생들이 운영하는 대회로 3일(@11/8/2025 → 11/10/2025) 동안 진행되었으며, 문제는 웹, 리버싱, 포너블, 암호학 등 다양한 카테고리에서 초보자 친화적인 문제들이 출제되었습니다.
이번 대회의 Web 카테고리에서는 Beginner 문제를 포함해 총 7개의 문제가 출제되었는데, 저는 그중 5개의 문제를 해결했습니다.

[BuckeyeCTF 2025] Write-Up 작성 및 후기
CTF
2025/11/14

Introduction
BYUCTF는 @5/17/2025 → 5/18/2025 동안 진행된 대회로, 브리검영(Brigham Young) 대학의 CTF 팀에서 주최한 대회입니다.
문제는 Misc, Crypto, Rev, Web, OSINT, Forensics, Pwn 총 7개 카테고리에서 총 41개의 문제가 출제 되었으며, 저는 이번 대회에서 총 5개의 문제를 해결했습니다.

특히 이번 대회에서는 OSINT 문제들이 가장 인상적이었는데, 밈을 만들어낼 정도로 큰 관심을 보여주었습니다.
[BYUCTF 2025] Write-Up 작성 및 후기
CTF
2025/05/22

Introduction
이번 b01lers CTF 2025는 이틀간(@4/19/2025 → 4/21/2025) 진행된 대회로 crypto, jail, misc, pwn, rev, web 총 6개 카테고리에서 문제가 출제되었습니다.
저는 이중에서 web 카테고리의 문제들을 풀었는데, web에서 총 9개 문제가 출제 되었고 그 중 2개의 문제밖에 풀지 못했습니다.

솔버가 많은걸 보니.. 쉬운 문제만 풀었나 봅니다 
비록 문제는 많이 풀지 못해 아쉬웠지만, Write-Up을 작성해 보면서 배운 점들을 정리하고 다른 분들의 풀이도 참고하면서 앞으로의 CTF 대회에서는 더 좋은 결과를 얻을 수 있도록 노력해야겠습니다.
[b01lers CTF 2025] Write-Up 작성 및 후기
CTF
2025/04/24

Introduction
대회 소개를 보면 초보자도 쉽게 접근할 수 있고 사이버 보안을 재밌게 배울 수 있는데 초점을 맞추었다고 되어있는데, CTF 경험이 적은 저에게는 아주 매력적인 소개인 것 같습니다.

또한, 이번 대회에서 처음으로 플래그도 획득 했었는데, 비록 쉬운 문제이지만 팀 스코어에 조금이나마 기여할 수 있어서 오랫동안 기억에 남을 것 같습니다.
[FMCTF - Nowruz 1404] CTF 후기 및 Write-Up
CTF
2025/03/21

Introduction
이번에 분석할 CVE-2024-47208 취약점은 이전에 분석한 Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45507 (6/7) 취약점의 미흡한 패치로 인해 발생된 취약점입니다. 해당 취약점은 이전 취약점과 동일하게 SSRF(Server-Side Request Forgery), Code Injection 취약점이 존재하며 이로인해 RCE(Remote Code Execution)가 가능한 취약점입니다.
이번 분석에서는 이전 패치에서 어떤 부분이 미흡했고, 어떻게 우회가 가능한지 살펴보겠습니다.
Apache OFBiz 18.12.16 Download Link
Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-47208 (7/7)
One-Day Analysis
2025/03/04

Introduction
이번에 분석할 CVE-2024-45507 취약점은 이전에 분석한 CVE-2024-45195 취약점과 유사하지만 취약점을 일으키는 엔드포인트가 다릅니다. 이는 취약점을 발생시키는 Groovy 스크립트가 다르다는 것입니다.
CVE-2024-45507 취약점은 StatsSinceStart.groovy 스크립트를 이용하여 서버 측 요청 위조(SSRF)와 코드 인젝션 취약점을 발생시키는 문제를 가지고 있고, CVE-2024-45195 취약점은 ViewDataFile.groovy 스크립트를 이용한 강제 브라우징(Forced Browsing) 취약점입니다.
Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45507 (6/7)
One-Day Analysis
2025/03/04

Introduction
네 번째 취약점인 CVE-2024-45195 취약점에 대해 알아보겠습니다. 해당 취약점은 Apache OFBiz 버전 18.12.15 이하에서 발생되는 강제 브라우징(Forced Browsing) 취약점입니다.
이전에 발생한 세 가지 취약점(CVE-2024-32113, CVE-2024-36104, CVE-2204-38856)과 동일하게 URI 처리 메커니즘에서 컨트롤러(Controller)와 뷰(View)의 매핑 처리과정에서 발생하는 잘못된 인증 처리로 인해 발생됩니다.
즉, requestUri 와 overrideViewrUri 에 대한 구분된 처리로 인해 발생하는 취약점으로 아래 분석을 통해 상세히 살펴보겠습니다.
Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45195 (5/7)
One-Day Analysis
2025/03/04

Introduction
세 번째 취약점인 CVE-2024-38856은 이전에 발견된 CVE-2024-32113, CVE-2024-36104 취약점의 근본적인 원인에 대한 취약점입니다. 이전에 발견된 CVE-2024-32113, CVE-2024-36104 취약점은 공격 벡터가 된 URI를 기반으로 Path Traversal 취약점을 방어했지만, 사실 근본적인 취약점 원인에 대한 해결책은 아니었습니다.
이번 CVE-2024-38856 취약점은 NVD에서도 언급되었듯이 Incorrect Authorization 취약점으로, Apache OFBiz에서 인증되지 않은 엔드포인트를 통해 권한 검사 없이 화면 렌더링 코드 실행이 가능한 문제입니다. 그럼 이번 CVE-2024-38856 취약점 분석을 통해 근본적인 취약점 발생 원인을 분석해보겠습니다.
Apache OFBiz 18.12.14 Download Link
Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-38856 (4/7)
One-Day Analysis
2025/03/04
Load more