Motivation for Creating the LLM Agent WorkflowUntil now, my cybersecurity studies in college were mostly focused on wargames and CTFs. While finding vulnerabilities and successfully exploiting them in a controlled environment was fun, I always had a desire to find vulnerabilities in the "Real World."Joining the BoB (Best of the Best, South Korea's cybersecurity training program) 14th Vulnerabili..

LLM 에이전트 워크플로우를 만들게 된 계기그동안 대학교에 와서 했던 보안 공부는 주로 워게임이나 CTF에 집중되어 있었습니다. 정해진 환경에서 취약점을 찾고 익스플로잇에 성공하는 것도 좋았지만, Real World의 취약점을 찾고 싶다는 생각이 있었습니다.그러다 BoB 14기 취약점 분석 트랙에 합류하면서 보안 업계의 패러다임이 변하고 있다는 걸 느꼈습니다. 멘토님들의 AI가 해킹도 잘하고 미래에는 보안에서 많은 부분을 담당하게 될 거고 AI를 잘 다루는 능력이 해커에게 매우 중요하다는 말과 AIxCC(AI Cyber Challenge) 대회를 보고 "AI for Security"가 조만간 보안에서의 주류가 될 것이라는 생각이 들었습니다. 그리고 AI가 단순히 웹 UI에서 챗봇과 대화하는 수준을 넘어,..

보고서를 쓴지 얼마 안되었을때 쓴 보고서라서 그런지 지금 보기에는 고칠점이 많지만 다행히 grafana 측에서 정보를 더 요청하지 않고 바로 accept 해 주었다.1. Summary대시보드 권한 API가 대상 대시보드 스코프를 검증하지 않고 dashboards.permissions:* 액션만 확인해, 한 대시보드에서 권한 관리 권한을 가진 사용자가 다른 대시보드의 권한을 읽고 수정할 수 있습니다. 조직 내 권한 상 승(Privilege Escalation) 취약점입니다.2. DescriptionGrafana는 대시보드마다 별도의 권한(읽기/쓰기/관리)을 설정할 수 있습니다. 정상 동작이라면 특정 대시보드에만 “권한 관리자”인 사용자는 다른 대시보드 권한에 접근할 수 없어야 합니다. 그러나 현재는 권한 ..