AXIO VULN LAB

🛡️ 훈련 시작 가이드

AXIO VULN LAB은 OWASP Top 10 취약점을 직접 공격해보며 배우는 모의훈련 플랫폼입니다.
교육 목적으로만 사용하고, 실제 서비스에 동일 기법을 사용하는 것은 불법입니다.

🚀 훈련 시작 5단계

초대 코드로 회원가입

강사에게 받은 초대 코드(예: AXIO-TRAIN-2024)를 입력해 계정을 만드세요. 데모 코드는 AXIO-TRAIN-2024입니다.

회원가입 →

시스템 선택

메인 페이지에서 거래소 또는 쇼핑몰 중 훈련 대상을 선택합니다. 두 시스템 모두 OWASP Top 10 취약점을 내포하고 있습니다.

취약점 학습 자료 확인

취약점 설명 페이지에서 각 OWASP 항목의 개념, 취약 코드 vs 안전 코드, 실습 시나리오를 미리 확인하세요.

챌린지 공격 & FLAG 제출

챌린지 페이지에서 각 취약점에 대한 힌트를 보며 실제로 공격해보세요. FLAG를 발견하면 AXIO{...} 형식으로 제출합니다.

힌트는 1개당 -10pt 감점 (먼저 풀어보고 막히면 사용)

수료증 발급 & 랭킹 확인

전체 챌린지를 완료하면 점수 기반 S/A/B/C 등급 수료증이 발급됩니다. 랭킹 페이지에서 다른 수강생과 점수를 비교해보세요.

🗺️ 어디서 어떤 취약점을 찾나?

A01

Broken Access Control

계좌 조회 URL · 관리자 파라미터 · 지갑 삭제

거래소 + 쇼핑몰

A02

Cryptographic Failures

SQL 직접 실행 → users 테이블 조회

거래소

A03

Injection (SQLi + XSS)

로그인 · 공지 댓글 · 쇼핑몰 검색 · 리뷰

거래소 + 쇼핑몰

A04

Insecure Design

마이페이지 잔액 · 쇼핑몰 가격 조작

거래소 + 쇼핑몰

A05

Security Misconfiguration

관리자 다운로드 Path Traversal

거래소

A06

Vulnerable Components

/system/components 버전 정보 확인

거래소

A07

Auth Failures

로그인 브루트포스 (카운터 우회)

거래소

A08

Software Integrity / RCE

웹셸 EJS 업로드 → 서버 명령 실행

거래소

A09

Logging Failures

/system/audit 감사 로그 직접 접근

거래소

A10

SSRF

관리자 외부 URL 시세 조회 기능

거래소

💡 팁: 각 취약점의 자세한 설명과 취약/안전 코드 비교는 취약점 학습 자료에서 확인할 수 있습니다.

❓ 자주 묻는 질문 (FAQ)

FLAG 형식이 뭔가요? ▼

모든 FLAG는 AXIO{내용} 형식입니다. 예: AXIO{sqli_login_bypass}
챌린지 페이지 FLAG 입력창에 그대로 붙여넣기 하면 됩니다.

힌트를 보면 점수가 깎이나요? ▼

예, 새로운 힌트를 처음 볼 때마다 -10pt 감점됩니다.
같은 힌트를 다시 봐도 추가 감점은 없습니다. 수료증의 최종 점수에 반영됩니다.

SQL Injection은 어떻게 시작하나요? ▼

로그인 페이지(/login) username 입력란에 admin'-- 를 입력해보세요.
비밀번호 없이 admin 계정으로 로그인이 가능합니다. 이것이 A03 SQL Injection의 기본 예시입니다.

XSS는 어디서 테스트하나요? ▼

공지사항 댓글(/notice)과 쇼핑몰 리뷰(/shop)에서 Stored XSS가 가능합니다.
<script>alert(document.cookie)</script> 를 댓글로 작성하면 세션 쿠키가 노출됩니다.

웹셸(RCE)은 어떻게 시도하나요? ▼

관리자 계정(admin / admin1234)으로 로그인 후 /admin/shell-view 페이지를 방문하세요.
EJS 형식의 파일을 업로드하면 서버에서 실행됩니다. 예시 코드는 해당 페이지에서 확인 가능합니다.

IDOR란 무엇이고 어떻게 찾나요? ▼

IDOR(Insecure Direct Object Reference)는 URL의 ID를 바꿔 다른 사용자의 데이터에 접근하는 취약점입니다.
/dashboard/account/1, /dashboard/account/2 처럼 숫자를 바꿔보세요.
쇼핑몰에서는 /shop/orders/1 처럼 주문 ID를 변경해보세요.

수료증 등급 기준은? ▼

힌트 감점을 제외한 최종 점수 / 만점 비율로 등급이 결정됩니다.
S: 90% 이상 A: 70~89% B: 50~69% 또는 전체 완료 C: 50% 미만

Path Traversal은 어떻게 시도하나요? ▼

관리자 페이지 파일 다운로드 기능에서 file 파라미터를 조작합니다.
/admin/download?file=../../database/pravang.db 처럼 상위 디렉터리 접근을 시도해보세요.

⚠️ 주의사항

이 훈련 환경에서 배운 기법을 실제 서비스에 사용하는 것은 불법(정보통신망법 위반)입니다.
이 사이트는 교육용으로 취약점을 의도적으로 구현했습니다. 취약점 발견은 학습 목적으로만 활용하세요.
서버 자원을 과도하게 소비하거나 다른 수강생의 학습을 방해하지 마세요.

🎯 챌린지 시작하기 📚 취약점 학습 자료