최근 발견된 XZ Utils 백도어(CVE-2024-3094)를 심층 분석했습니다. 공격자가 SSH 인증 과정에 백도어를 삽입한 방식이 정말 교묘했네요. liblzma 라이브러리를 통해 systemd에 주입되는 방식으로 작동합니다. 자세한 기술 분석 보고서를 작성했으니 필요하신 분은 댓글 남겨주세요.
3개월간의 준비 끝에 드디어 OSCP 합격했습니다! 🎉 실전에서 정말 도움됐던 공부 방법과 시험 팁을 공유합니다. 특히 Buffer Overflow와 권한 상승 부분이 까다로웠는데, HackTheBox와 TryHackMe로 충분히 연습하시길 추천드립니다.
Chrome V8 JavaScript 엔진에서 심각한 원격 코드 실행 취약점을 발견했습니다. 특정 JIT 컴파일 최적화 과정에서 메모리 손상이 발생하며, 이를 악용하면 샌드박스를 우회할 수 있습니다. Google Security Team에 책임있게 공개했으며, 패치는 다음 주 배포 예정입니다.
대기업 보안 컨설팅 회사에서 주니어 펜테스터로 1년간 근무한 경험을 공유합니다. 실무에서는 OWASP Top 10보다 설정 오류와 권한 관리 문제가 훨씬 많았고, 고객사 커뮤니케이션이 생각보다 중요했습니다. 연봉과 커리어 패스에 대해서도 솔직하게 이야기하겠습니다.
유명 스타트업의 S3 버킷 설정 오류로 100만 명의 개인정보가 노출되는 사고가 발생했습니다. Public Read 권한이 잘못 설정되어 있었고, IAM 정책도 느슨하게 구성되어 있었습니다. 클라우드 보안 설정 체크리스트를 공유하니 참고하세요.
Metasploit을 처음 시작하는 분들을 위한 완벽 가이드입니다. 기본 명령어부터 모듈 개발, 페이로드 커스터마이징까지 실전 예제와 함께 설명합니다. PDF 파일과 연습용 VM 이미지도 함께 공유합니다.
6개월간 버그바운티로 $50,000을 벌었습니다. HackerOne, Bugcrowd에서 활동하며 발견한 주요 취약점들과 전략을 공유합니다. XSS, IDOR, SSRF 등 실제로 보상을 받았던 케이스들을 자세히 설명하겠습니다.
Log4j2의 치명적인 RCE 취약점 Log4Shell(CVE-2021-44228)에 대한 심층 분석입니다. JNDI Injection을 통한 공격 메커니즘과 실제 exploit 코드, 그리고 효과적인 방어 방법을 다룹니다. 각 버전별 패치 방법도 정리했습니다.