Motivation for Creating the LLM Agent WorkflowUntil now, my cybersecurity studies in college were mostly focused on wargames and CTFs. While finding vulnerabilities and successfully exploiting them in a controlled environment was fun, I always had a desire to find vulnerabilities in the "Real World."Joining the BoB (Best of the Best, South Korea's cybersecurity training program) 14th Vulnerabili..

LLM 에이전트 워크플로우를 만들게 된 계기그동안 대학교에 와서 했던 보안 공부는 주로 워게임이나 CTF에 집중되어 있었습니다. 정해진 환경에서 취약점을 찾고 익스플로잇에 성공하는 것도 좋았지만, Real World의 취약점을 찾고 싶다는 생각이 있었습니다.그러다 BoB 14기 취약점 분석 트랙에 합류하면서 보안 업계의 패러다임이 변하고 있다는 걸 느꼈습니다. 멘토님들의 AI가 해킹도 잘하고 미래에는 보안에서 많은 부분을 담당하게 될 거고 AI를 잘 다루는 능력이 해커에게 매우 중요하다는 말과 AIxCC(AI Cyber Challenge) 대회를 보고 "AI for Security"가 조만간 보안에서의 주류가 될 것이라는 생각이 들었습니다. 그리고 AI가 단순히 웹 UI에서 챗봇과 대화하는 수준을 넘어,..

보고서를 쓴지 얼마 안되었을때 쓴 보고서라서 그런지 지금 보기에는 고칠점이 많지만 다행히 grafana 측에서 정보를 더 요청하지 않고 바로 accept 해 주었다.1. Summary대시보드 권한 API가 대상 대시보드 스코프를 검증하지 않고 dashboards.permissions:* 액션만 확인해, 한 대시보드에서 권한 관리 권한을 가진 사용자가 다른 대시보드의 권한을 읽고 수정할 수 있습니다. 조직 내 권한 상 승(Privilege Escalation) 취약점입니다.2. DescriptionGrafana는 대시보드마다 별도의 권한(읽기/쓰기/관리)을 설정할 수 있습니다. 정상 동작이라면 특정 대시보드에만 “권한 관리자”인 사용자는 다른 대시보드 권한에 접근할 수 없어야 합니다. 그러나 현재는 권한 ..

Interested in web hacking and AI for security Who am Iname: 신현서 (se1en)Team: CyKorE-mail: selen0328@gmail.com ExperienceCyKor 세미나 강사(2024,2025)CyKor Recruiting CTF 문제 출제(2024,2025)CyKor CTF 문제출제(2025)KoS CTF 문제 출제(2025)Awards2023 고려대학교 해커톤 HACKUTHON (1st place)제 5회 부산.울산 정보보호 경진대회 장려상2025 숭실대 해킹방어대회 대학부 최우수상Bug Bounty & CVEsCVE-2025-66514 | cvss 5.4 / xss in nextcloud mail | (Bounty Awarded)CVE-..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

물건구매,송금,faq기능이 있는 플라스크로 구현된 구매 페이지이다.1.xss case 'faq':#get question = request.args.get('question') if question: user_question_tfidf = tfidf_vectorizer.transform([question]) cosine_similarities = linear_kernel(user_question_tfidf, tfidf_matrix).flatten() most_similar_index = cosine_similarities.argsort()[-1] ..