Link
Notice
Recent Posts
Recent Comments
«   2026/07   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
Archives
Today
Total
관리 메뉴

hiariz 님의 블로그

2025 버그바운티 부산 참여 후기 본문

BugBounty

2025 버그바운티 부산 참여 후기

hiariz 2026. 1. 6. 02:38

 

2025년 12월 1일부터 14일까지 2주간 부산정보산업진흥원이 주최하는 버그바운티 대회가 열리게 되었습니다.

 

참가 대상자는 부산/울산/경남권 대학생들로 제한하여 대회가 열렸고 저는 참가조건이 되어 이번 대회에 참여해보았습니다.

 

매번 CTF 대회들만 참가하다가 이번에 처음으로 버그바운티 대회를 참가해 보았는데, 정말 많은 것을 깨달을 수 있었던 대회라 사용했던 도구들 및 방법들과 느꼈던 점들을 정리해보겠습니다.

 

먼저 사용한 도구들입니다.

1. OWASP ZAP

 

The ZAP Homepage

Welcome to ZAP!

www.zaproxy.org

 

OWASP ZAP은 대표적인 펜테스트 자동화 도구로 앱 애플리케이션에 존재하는 보안 취약점들을 자동으로 탐지해주는 역할을 합니다.

 

 

대상 URL을 입력하고 공격 버튼을 누르면 URL에 어떤 보안 취약점 후보들이 존재하는지 나타나게 됩니다.

 

나타난 취약점 후보들을 바탕으로 실제 타겟 URL을 대상으로 테스트를 진행해 보았을 때 실제 유효한 취약점을 찾을 수 있었어서 매우 유용하게 사용한 도구였습니다.

 

2. BurpSuite

 

Web Application Security, Testing, & Scanning - PortSwigger

PortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.

portswigger.net

 

다음은 BurpSuite입니다. 

 

BurpSuite는 웹 프록시부터 Intruder, Scanner, Sequencer, Decoder 등 매우 다양한 도구를 제공하는 도구로 웹 취약점 탐지에선 없어서는 안되는 도구입니다.

 

BurpSuite 경우에는 발견한 웹 취약점을 재현하거나 PoC 확보를 위해 주로 사용을 하였고, 브루트포싱이나 

 

 

3. jadx-gui

 

GitHub - skylot/jadx: Dex to Java decompiler

Dex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.

github.com

 

 

jadx-gui는 안드로이드 애플리케이션의 실행 파일인 APK 파일을 분석할 때 사용하는 오픈 소스 기반의 디컴파일(Decompile) 도구입니다.

 

안드로이드 앱은 개발자가 작성한 자바나 코틀린 소스 코드가 컴파일 과정을 거쳐 DEX(Dalvik Executable) 포맷으로 변환되어 패키징되는데, jadx-gui는 이 DEX 파일을 다시 사람이 읽을 수 있는 자바 소스 코드 형태로 복원해 주는 역할을 수행합니다.

 

타겟 대상에는 웹 뿐만 아니라 모바일 어플도 있었기 때문에 apk 파일을 추출하여 위의 툴을 이용해 분석을 진행하였습니다.

 

또한 소스코드 분석에 있어서 추가적으로 다음과 같은 방법을 사용해보았습니다.

 

$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰

You can read this article in English as well How I Found a $2,418 Vulnerabilities with a $5 PromptHi I’m Seokchan Yoon. Currently working for blockchain security audit company Zellic.io and also a member of the security team of Apache Foundation’s Airf

new-blog.ch4n3.kr

 

바로 LLM을 통해 디컴파일된 APK 파일 소스코드에 대해 Codex를 사용하여 Auditing을 수행하였습니다.

 

이전 Chatgpt와 같은 챗봇 형태의 LLM을 사용하였을때는 모델이 전체 소스코드를 분석하는데 한계가 있었지만 VSCode에 Codex를 연동하여 사용하니 전체 소스코드를 분석할 수 있었고 유의미한 취약점을 발견할 수 있었습니다.

 

위의 도구들을 토대로 열심히 취약점들을 제보를 하였고 그 결과 우수상을 수상할 수 있었습니다 :)

 

느낀점

이번 대회를 참가하면서 느꼈던 점은 실제 운영 사이트는 CTF와 같은 기술적인 취약점보다는 개발자의 실수나 단순한 코드상의 오류로 인해 발생하는 취약점이 더욱 더 많다는 점을 다시 한 번 느낄 수 있게 되었습니다.

 

또한 이전까지 SQL Injection이나 XXS같은 기술적인 취약점들이 매우 큰 파급력을 가지고 있을 것이다라고 생각을 하고 있었는데 이번 대회를 통해 이런 단순한 기술적인 취약점보단 기술적인 취약점은 아니더라도 결제와 관련된 것이나 개인의 민감한 정보가 유출되는 취약점이 기업 입장에선 훨씬 큰 파급력을 가질 수 있다는 점을 알게 되었습니다. 

 

수상을 하긴 했지만 개인적으로는 매우 아쉬움이 더 많이 느껴지는 대회였습니다. 그래도 이번 대회를 통해 저의 부족한 부분이 어떤 점인지 느낄 수 있었고 무엇보다 취약점을 판단하는데 있어서 새로운 시야를 가질 수 있었던 것 같아서 매우 뜻 깉은 경험이 되었다고 생각합니다.

 

배운 점들을 토대로 앞으로 참가할 대회에선 더 큰 수상을 노릴 수 있도록 부족한 점을 더 보완해서 공부를 해야할 것 같습니다 ...!!