브라우저에서 AI 에이전트 보안까지 실습하는 MIRAGE 공개
MIRAGE는 0단계부터 40단계까지 이어지는 웹 보안 실습 코스이며, 모든 단계가 브라우저 안에서 실행된다. 별도 접속 도구, 가상머신, 보안 전용 운영체제를 준비하지 않아도 된다.
실습 범위는 정보 수집, 화면에서만 믿고 처리하는 위험한 설계, 잘못된 접근 제어, IDOR, BOLA, 나 같은 서비스의 RLS 설정 실수까지 포함한다. 로그인, JWT, 토큰 악용, SQLi·NoSQLi·SSTI·명령 주입 같은 여러 주입 공격, XSS, SSRF, 안전하지 않은 역직렬화, 문제도 다룬다.
마지막 부분은 AI와 공격으로 이어지며, , 저장된 악성 지시, 마크다운 이미지로 정보가 빠져나가는 출력 처리 문제, 도구 권한이 너무 넓은 의 혼동된 대리자 문제, 벡터 저장소의 BOLA를 포함한다. 내용은 2025~2026년에 실제로 나온 CVE와 사고 사례에 맞춰 구성되며, EchoLeak와 비슷한 간접 주입 공격도 포함된다.
핵심 포인트
- 0~40단계 웹 보안 실습을 브라우저에서 바로 진행할 수 있다.
- 웹 앱의 접근 제어, 로그인, 토큰, , , 주입 공격을 폭넓게 다룬다.
- AI/LLM 파트에는 , 저장된 악성 지시, 출력 처리 문제, 도구 남용이 포함된다.
- 가 외부 도구를 쓸 때 생기는 권한 오남용과 데이터 유출 위험을 실습으로 볼 수 있다.
- 2025~2026년 실제 취약점과 사고 사례를 바탕으로 구성됐다.