KWAKBUMJUN

moved https://bumjunrh.kr/

TL;DR날짜: 2025년 11월 3일피해액: $128.64M (6개 체인)대상: Balancer V2 Composable Stable Pools근본 원인: _upscale() 함수가 항상 mulDown(내림)만 사용하는 반면 _downscale()은 divUp/divDown(올림/내림)을 상황에 따라 사용 → 라운딩 방향 비대칭으로 인해 불변량(Invariant) D가 과소 계산됨 → BPT 가격 왜곡 → 배치 스왑으로 차익 추출공격 키워드: 정밀도 손실(Precision Loss), 불변량 조작(Invariant Manipulation), 배치 스왑(Batch Swap)1. 배경: Balancer V2와 Composable Stable Pool1.1 Balancer란Balancer는 Ethereum ..

1. 개요2024~2025년에도 웹 기반 공격은 사이버 침해의 가장 주요한 경로였다. 특히 주목할 점은 공격 대상이 일반 웹 애플리케이션이 아니라 보안 장비/VPN/파일 전송 솔루션과 같은 인프라 관리 시스템이라는 것이다. 이 시스템들은 인터넷에 직접 노출되면서도, 내부 네트워크로의 관문(Gateway) 역할을 하기 때문에 공격자에게 극도로 높은 가치를 가진다.본 보고서에서 분석하는 3개 사례는 모두 다음 공통점을 가진다:웹 인터페이스를 통해 공격이 시작됨인증 우회 또는 인증 없는 원격 코드 실행(RCE)이 가능제로데이(0-day) 상태에서 실제 공격에 악용됨국가 지원 APT 또는 대규모 랜섬웨어 그룹이 관여사례 선정 요약#사례CVE공격 시작위험도공격 주체1Fortinet FortiManager "For..

Github urlhttps://github.com/kwakbumjun713/golang-fileservice/tree/main/go-fileshare프로젝트 구조go-fileshare/├── main.go ← 서버 전체 코드 (단일 파일)├── templates/│ ├── index.html ← 메인 페이지 (업로드 + 파일 목록)│ └── share.html ← 공유 링크 페이지├── uploads/ ← 업로드 파일 저장 경로├── Dockerfile├── go.mod└── README.md의도적으로 외부 의존성 0개로 만들었다. go.mod에 require가 없다. net/http, html/template, crypto/rand, mime..

모의해킹 결과 보고서1. 정보 수집 (Reconnaissance)1.1 대상 식별대상 URL: http://localhost:5001기술 스택: Python Flask + MariaDB 10.5 + Jinja2 템플릿프론트엔드: Tailwind CSS, Font Awesome컨테이너 구성: web (Flask), db (MariaDB), chatbot_server (SSH)1.2 디렉토리 및 엔드포인트 열거주요 발견 경로:경로기능인증 필요/메인 페이지 (상품 목록)없음/users/login로그인없음/users/register회원가입없음/board/게시판 글 조회없음/orders/주문 상세 조회로그인/admin관리자 페이지admin 계정/admin/calculator관리자 계산기admin 계정/robots..

1. 왜 이 주제인가2024년 이후, 보안 연구 커뮤니티에서 가장 폭발적으로 논문이 증가한 분야가 있다. "LLM(Large Language Model) 에이전트를 활용한 자율 침투 테스트(Autonomous Penetration Testing)"다. 2024년 말부터 2026년 초까지 약 1년 반 동안 arXiv에만 10편 이상의 관련 논문이 등록되었고, IEEE S&P, MDPI 등 학술지에도 채택이 이어지고 있다.이 분야의 핵심 질문은 단순하다:"LLM 에이전트가 사람 해커처럼 자율적으로 시스템을 침투할 수 있는가?"이 질문이 중요한 이유는 양면적이다. 공격 관점에서는 침투 테스트의 비용과 인력 부족 문제를 해결할 수 있고, 방어 관점에서는 공격자도 곧 이 기술을 악용할 것이므로 선제적 이해가 필요..

1. 들어가며: 왜 포인터를 보호해야 하는가메모리 취약점을 이용한 공격의 핵심은 거의 언제나 포인터 변조다. 스택 버퍼 오버플로우로 리턴 주소를 덮어쓰든(ROP), 함수 포인터를 변조하든(JOP), vtable을 조작하든 — 결국 공격자가 하는 일은 "프로그램이 의도하지 않은 주소로 제어 흐름을 바꾸는 것"이다.소프트웨어 수준의 방어(ASLR, Stack Canary, CFI 등)는 효과적이지만 한계가 있다. ASLR은 정보 유출로 우회되고, Stack Canary는 비순차적 쓰기로 건너뛸 수 있다. 이 한계를 극복하기 위해 ARM은 하드웨어 수준에서 포인터 자체에 암호학적 서명을 삽입하는 기법을 도입했다.이것이 PAC(Pointer Authentication Code)이다.2. PAC의 핵심 개념2.1..

들어가며: 공격자가 "원격 데스크톱"을 좋아하는 이유APT 공격자에게 가장 이상적인 원격 접근 수단은 무엇일까? 커스텀 백도어? C2 셸? 의외로 답은 훨씬 평범하다 — RDP(Remote Desktop Protocol)다.RDP는 Windows에 기본 내장되어 있고, 암호화된 정상 프로토콜이며, 관리자들이 일상적으로 사용한다. 트래픽 자체가 의심스럽지 않다. GUI 기반이라 파일 탐색, 문서 열람, 이메일 확인까지 자유롭다. 공격자 입장에서 RAT(Remote Access Trojan)보다 RDP가 더 편하고, 더 안전하다.북한 연계 APT 그룹 Kimsuky(김수키)는 이 점을 정확히 간파했다. 그런데 한 가지 문제가 있었다. Windows 데스크톱 에디션은 RDP 동시 세션을 1개만 허용한다. 공격..

목차Part 1: 개요Executive Summary분석 대상 행위 개요Part 2: 탐지 레이어별 기술 분석3. T1055 프로세스 인젝션 — 탐지 레이어별 분석4. T1003 자격증명 덤핑 — 탐지 레이어별 분석5. 레이어 간 상관관계 분석Part 3: 제품별 탐지 비교 매트릭스6. 멀티 AV/EDR 제품 비교7. 탐지 공백 영역 식별Part 4: 결론 및 권고8. 방어 권고사항9. 결론부록부록 A: 제품별 강점/약점 요약부록 B: 환경별 제품 배포 권고부록 C: 실험 환경 및 재현 절차부록 D: 참고 자료Part 1: 개요1. Executive Summary"우리 회사는 AV를 쓰고 있으니 안전하지 않을까?"보안 업계에서 가장 위험한 착각 중 하나다. 현대의 공격자는 단일 탐지 레이어를 우회하는 것..

EDR 환경을 직접 구축하고 실습하는 프로젝트를 진행해본다.https://www.xn--hy1b43d247a.com/homelab/edr→ 해당 글을 참고하여 edr 설치를 진행했다. 하지만 위의 글은 칼리 리눅스 기반 설치 안내이기 때문에 내 우분투 환경에는 맞지 않았다. 따라서 나는 아래와 같이 설치를 진행하였다.# 1) 기존 충돌 패키지 제거(있으면)for pkg in docker.io docker-doc docker-compose docker-compose-v2 podman-docker containerd runc; do sudo apt remove -y $pkgdone# 2) 패키지 인덱스 갱신sudo apt update# 3) 필수 패키지 설치sudo apt install -y ca-cert..