Insecure Deserialization (PortSwigger Aademy) - 개념과 기본 원리 (Part 1)

직렬화와 역직렬화 개념, 그리고 Insecure Deserialization이 왜 위험한지 간단한 예시와 함께 정리

2026/03/21 Web Security, Deserialization

SSTI 실습(5) - user-supplied object를 통한 정보 유출 (PortSwigger Academy)

Django template에서 debug 기능을 이용해 settings 객체에 접근하고 SECRET_KEY를 탈취하는 과정

2026/03/20 Web Security, SSTI, Lab

SSTI 실습(4) - Unknown template engine + documented exploit (PortSwigger Academy)

템플릿 엔진 식별 후 공개 exploit을 활용해 RCE를 수행하는 과정

2026/03/20 Web Security, SSTI, Lab

SSTI 실습(3) - Freemarker Template Injection으로 파일 삭제 (PortSwigger Academy)

Freemarker 템플릿 엔진을 식별하고 문서를 활용해 Execute 클래스로 OS 명령 실행하는 과정

2026/03/19 Web Security, SSTI, Lab

SSTI 실습(2) - Tornado Template Injection (Code Context)로 파일 삭제 (PortSwigger Academy)

Tornado 템플릿의 code context에서 SSTI를 이용해 Python 코드 실행 및 파일 삭제 과정 정리

2026/03/19 Web Security, SSTI, Lab