시스템 컴포넌트 정보
A05 - 정보 노출
A06 - 취약 컴포넌트
⚠️ 이 페이지는 서버의 런타임 정보와 패키지 버전을 그대로 노출합니다. (취약점 시나리오)
서버 환경 정보 (A05 - Security Misconfiguration)
| 항목 | 값 |
|---|
| Node.js 버전 | v20.20.2 |
| 플랫폼 | linux |
| 실행 환경 | production |
| 서버 시간 | 2026-06-29T09:56:56.214Z |
설치된 패키지 (A06 - Vulnerable & Outdated Components)
| 패키지명 | 버전 | CVE | 위험도 | 설명 |
|---|
| express |
^4.18.2 |
-
|
-
|
-
|
| ejs |
^3.1.9 |
-
|
-
|
-
|
| express-session |
^1.17.3 |
-
|
LOW
|
설정에 따라 세션 고정 공격(Session Fixation)에 취약할 수 있음.
|
| sql.js |
^1.10.3 |
-
|
-
|
-
|
| body-parser |
^1.20.2 |
-
|
-
|
-
|
| multer |
^1.4.5-lts.1 |
CVE-2024-7003
|
HIGH
|
파일명 검증 없이 업로드 허용 시 경로 조작(Path Traversal) 가능.
|
| axios |
^1.6.7 |
CVE-2023-45857
|
MEDIUM
|
1.5.1 이하 버전에서 XSRF-TOKEN 헤더가 크로스 도메인 요청에 포함될 수 있음.
|
| jsonwebtoken |
^8.5.1 |
CVE-2022-23529
|
HIGH
|
8.5.1 이하 버전에서 시크릿 검증 우회 가능. jwt.verify()의 secretOrPublicKey 인자가 빈 문자열일 때 검증 스킵.
|
| cookie-parser |
^1.4.6 |
-
|
-
|
-
|
| md5 |
^2.3.0 |
-
|
-
|
-
|
챌린지 A06-1 FLAG 획득 조건
이 페이지를 통해 jsonwebtoken 8.5.1이 CVE-2022-23529에 취약함을 확인했습니다.
해당 CVE 번호를 확인했다면 챌린지 페이지에서 FLAG를 제출하세요.
FLAG 제출하러 가기