실제 딥페이크 유포 사이트에서 발견되는 취약점을 기반으로 제작된 실습 환경입니다. OWASP Top 10 취약점을 직접 공격하고 원리를 이해하세요.
검색 입력에 스크립트를 삽입하여 alert를 실행시키세요. 사이트가 사용자 입력을 필터링 없이 HTML에 반영하는 취약점입니다.
댓글 입력란에 저장형 XSS를 삽입하세요. 서버에 저장되어 다른 사용자가 페이지를 열 때마다 실행됩니다.
로그인 폼에서 SQL 인젝션을 이용해 인증을 우회하세요. 서버 쿼리: SELECT * FROM users WHERE username='[입력]' AND password='[입력]'
상품 검색 기능에서 UNION SELECT를 이용해 users 테이블의 비밀번호를 추출하세요. 원본 쿼리: SELECT id, name, price FROM products WHERE name LIKE '%[입력]%'
서버의 ping 기능에 OS 명령어를 삽입하세요. 서버 코드: os.system("ping -c 3 " + user_input)
파일 읽기 기능에서 경로 조작(Path Traversal)으로 서버의 /etc/passwd를 읽으세요. URL: /view?file=[입력]
내 프로필 API가 /api/user/1052 입니다. 다른 사용자의 개인정보를 열람하세요. 관리자 ID는 보통 낮은 숫자입니다.
URL 미리보기 기능이 있습니다. 이 기능을 이용해 서버 내부의 메타데이터 서비스(169.254.169.254)에 접근하세요.
일반 사용자 JWT 토큰이 주어졌습니다. 알고리즘을 none으로 변경하고 role을 admin으로 바꿔서 관리자 권한을 획득하세요.
XML 파일 업로드 기능에서 외부 엔티티를 정의하여 서버 파일을 읽으세요.
불법 딥페이크 사이트를 대상으로 한 실전 침투 테스트 프로세스
Whois, DNS, 서브도메인 열거, 기술 스택 분석, 포트 스캔으로 타겟 인프라를 파악합니다.
자동화 도구와 수동 분석을 병행하여 알려진 취약점(CVE)과 커스텀 취약점을 탐지합니다.
발견된 취약점을 실제로 악용하여 시스템 접근 권한을 획득합니다.
일반 사용자 권한에서 관리자(root) 권한으로 상승하여 시스템을 완전히 장악합니다.
관리자 권한으로 불법 콘텐츠를 삭제하고, 법적 대응을 위한 포렌식 증거를 수집합니다.
발견된 취약점, 공격 경로, 영향도, 권고사항을 포함한 상세 보고서를 작성합니다.
웹 애플리케이션 보안 위협 상위 10가지. 실습 랩은 이 기준으로 설계되었습니다.
권한 없는 리소스 접근 (IDOR, 경로 조작)
약한 암호화, 평문 전송, 키 관리 실패
SQL, OS Command, LDAP, XSS 인젝션
설계 단계의 보안 결함
기본 설정, 불필요한 기능 활성화, XXE
알려진 취약점이 있는 라이브러리 사용
인증/세션 관리 결함, JWT 조작
안전하지 않은 CI/CD, 의존성 공격
보안 이벤트 로깅/모니터링 부재
서버 측 요청 위조로 내부망 접근