2022 STEALIEN SECURITY SEMINAR 참관

스틸리언 보안 세미나 오프라인 참관 후기

[Static Vulnerability Analysis]

간단한 취약점 찾을 때 퍼저를 바로 사용할 수 있는지 별도의 사전 작업 없이 가능한가를 고민하다. 정적 취약점 분석을 연구하게 됐다. 보통 취약점 분석 시 프로그램 분석 -> 오디팅 -> 취약점인가? 하는 과정을 반복하게 되는데 이것을
Static Vulnerability Analysis로 해결 시도했고 실제 업무에 적용해봤다.

 

개발자 입장에서는 False Positive를 줄이는것이 좋지만, 버그헌터 입장은 최대한 많은 False Positive를 뜨도록 하는것이 취약점 찾는데 효과적이다.

---

[IDA Python으로 분석을 더 편하게 하는 방법]

-관심있는 주제가 아님-

---

[권한 상승 취약점 분석 방법론]

SSL 2기 수료생이 했던 프로젝트 발표다.

기존 취약점 점검 가이드 + 1-Day LPE 취약점 사례 + Mitre ATT&CK 프레임 워크 기반으로 

Windows + Linux 환경에서 논리적 취약점, 기술적 취약점, 시스템 권한적 취약점을 점검할 수 있는 권한 상승 취약점 점검 가이드를 작성 했다.

---

[모던 웹 서비스에서의 버그 케이스와 시큐어 코딩]

웹 모의해킹 수행하면서 주로 발견된 버그 케이스와 대응 방안을 발표했다.

백엔드와 프론트 프레임워크에 따라 주의해야 할 점들을 소개했다.

예를 들어 Django는 디버깅 모드를 구동시킨 상태로 빌드 시 외부에서 관리자 ID/PW를 볼 수 있다.

Express는 Prototype Pollution등이 있다.

 

백엔드 영역에서 자주 나온 취약점은 다음과 같다.

- Invalid Error Handling

- Path Traversal

- SSRF

- Race Condition

 

요즘 웹은 크리티컬한 취약점은 사라지고 1-Day을 활용한다. 자잘한 취약점들도 앞으로 CI/CD를 통해 해결될 것이다.  

그래서 Devsecops가 더 중요해질 것이다.

---

[MEV]

-관심있는 주제가 아님-

---

[Secret Session]

스틸리언 R&D팀 웹해킹 연구원 2명이 국내 CMS인 Godo***, Rhy***의 XSS to RCE 2개를 공개했다. 

취약점이 발생한 이유와 필터 우회하는 과정 등 상세히 발표를 했다.

---

종합리뷰

스틸리언에서 하고 있는 연구 발표가 아닌 연구원들이 사이드로 개인 연구한 내용을 발표하는 자리였다.

그러다 보니 순수 기술 발표가 대부분이기 때문에 깊이 있는 주제들이지만 시간 관계상 summary한 느낌을 받았다. 그리고 몇몇 발표는 CS기반 지식이 없다면 이해하기 어려운 주제들이 있었다.

스틸리언에서 주로 다루는 연구 발표가 아니라서 아쉬웠지만, 연구원들이 어떤식으로 개인 연구를 진행하는지 엿 볼 수 있어서 좋았다. 7 ~ 8월에 SSL 3기 모집한다고 하는데 직장인도 참여 가능했으면 좋겠다..
세미나실이 작다 보니 불편했다. 다음 세미나는 온라인으로 참관할 예정이다.

라이브 영상 https://youtu.be/6YgSTZ9i7Vk