⚠️ 훈련용 취약 웹사이트 — 실제 거래소가 아닙니다
취약점 챌린지
OWASP Top 10 기반 시나리오 | 총 19개
⚠️ 교육 목적 전용입니다. 실제 서비스에 동일 기법을 사용하는 것은 불법입니다. | 로그인하면 진행률을 저장할 수 있습니다.
🏆 랭킹 보기
A01 - Broken Access Control
EASY 다른 유저 계좌 조회 (IDOR) A01-1 100pt

자신의 계좌 정보가 아닌 다른 유저의 계좌 정보를 조회해보세요.

대상: /dashboard/account/:id
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{IDOR_account_access_1337}
FLAG를 제출하려면 로그인하세요.
EASY 관리자 페이지 접근 A01-2 100pt

일반 유저로 관리자 페이지에 접근해보세요.

대상: /admin
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{broken_access_control_admin_bypass}
FLAG를 제출하려면 로그인하세요.
A02 - Cryptographic Failures
MEDIUM 비밀번호 저장 방식 확인 A02-1 300pt

데이터베이스에서 비밀번호가 어떻게 저장되어 있는지 확인하세요.

대상: /admin/query
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{weak_crypto_md5_plaintext}
FLAG를 제출하려면 로그인하세요.
EASY 현재 비밀번호 확인 없는 비밀번호 변경 A02-2 100pt

마이페이지에서 현재 비밀번호 없이 계정 비밀번호를 변경해보세요.

대상: /mypage
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{no_current_password_verification}
FLAG를 제출하려면 로그인하세요.
A03 - Injection (SQL)
EASY SQL Injection으로 로그인 우회 A03-1 100pt

비밀번호 없이 admin 계정으로 로그인해보세요.

대상: /login
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{sqli_login_bypass_success}
FLAG를 제출하려면 로그인하세요.
A03 - Injection (XSS)
EASY Stored XSS A03-2 100pt

공지사항 댓글에 XSS 페이로드를 삽입해보세요.

대상: /notice
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{stored_xss_in_comments}
FLAG를 제출하려면 로그인하세요.
A04 - Insecure Design
MEDIUM 음수 송금으로 잔액 증가 A04-1 300pt

송금 금액을 음수로 입력하여 자신의 잔액을 늘려보세요.

대상: /dashboard/transfer
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{insecure_design_negative_transfer}
FLAG를 제출하려면 로그인하세요.
MEDIUM Mass Assignment으로 관리자 권한 획득 A04-2 300pt

마이페이지 프로필 수정 시 role 파라미터를 조작해 관리자로 권한 상승하세요.

대상: /mypage
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{mass_assignment_role_escalation}
FLAG를 제출하려면 로그인하세요.
A05 - Security Misconfiguration
MEDIUM Path Traversal A05-1 300pt

파일 다운로드 기능을 이용해 서버의 설정 파일을 읽어보세요.

대상: /admin/download
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{path_traversal_config_leak}
FLAG를 제출하려면 로그인하세요.
A07 - Auth Failures
HARD JWT 약한 시크릿 크래킹 A07-1 500pt

API 토큰의 JWT 시크릿을 크래킹하고 admin 권한 토큰을 생성해보세요.

대상: /api/token
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{jwt_weak_secret_cracked}
FLAG를 제출하려면 로그인하세요.
A08 - Data Integrity Failures
HARD 파일 업로드 취약점 A08-1 500pt

파일 업로드 기능을 통해 웹셸을 업로드해보세요.

대상: /api/upload
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{webshell_rce_server_pwned}
FLAG를 제출하려면 로그인하세요.
A09 - Logging Failures
MEDIUM 출금 로그 미존재 확인 A09-1 300pt

API를 통해 출금 후 로그가 기록되지 않음을 확인하세요.

대상: /api/withdraw
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{no_audit_log_for_withdrawal}
FLAG를 제출하려면 로그인하세요.
A10 - SSRF
HARD SSRF로 내부 서비스 접근 A10-1 500pt

시세 정보 가져오기 기능으로 내부 서버에 접근해보세요.

대상: /admin/price-fetch
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{ssrf_internal_access}
FLAG를 제출하려면 로그인하세요.
A06 - Vulnerable & Outdated Components
EASY 취약한 라이브러리 버전 탐지 A06-1 100pt

서버에서 사용 중인 라이브러리 목록을 확인하고 취약한 버전을 찾아보세요.

대상: /system/components
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{A06_outdated_jwt_cve_2022_23529}
FLAG를 제출하려면 로그인하세요.
A07 - Identification & Authentication Failures
MEDIUM 로그인 브루트포스 공격 A07-2 300pt

계정 잠금 없이 비밀번호를 무한 시도해 계정을 탈취해보세요.

대상: /login
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{A07_bruteforce_no_lockout}
FLAG를 제출하려면 로그인하세요.
A01 - Broken Access Control (쇼핑몰)
EASY 타인의 주문 상세 열람 (IDOR) SHOP-A01 100pt

자신의 주문이 아닌 다른 사용자의 주문 상세 페이지를 조회해보세요.

대상: /shop/orders/:id
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{shop_idor_order_disclosure}
FLAG를 제출하려면 로그인하세요.
A03 - Injection (쇼핑몰 XSS)
EASY 상품 리뷰 Stored XSS SHOP-A03-XSS 100pt

상품 리뷰에 XSS 페이로드를 삽입하여 다른 사용자의 쿠키를 탈취해보세요.

대상: /shop/product/:id
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{shop_xss_review_injection}
FLAG를 제출하려면 로그인하세요.
A03 - Injection (쇼핑몰 SQLi)
MEDIUM 상품 검색 SQL Injection SHOP-A03-SQLi 300pt

상품 검색 기능의 SQL Injection 취약점으로 users 테이블의 데이터를 추출하세요.

대상: /shop?q=
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{shop_sqli_search_union}
FLAG를 제출하려면 로그인하세요.
A04 - Insecure Design (쇼핑몰)
EASY 장바구니 가격 파라미터 조작 SHOP-A04 100pt

장바구니 추가 시 unit_price를 1원으로 변조하여 상품을 거의 무료로 구매하세요.

대상: /shop/product/:id
💡 힌트 힌트 1개당 -10pt
🚩 FLAG 직접 보기 (스포일러 주의) AXIO{shop_price_manipulation}
FLAG를 제출하려면 로그인하세요.