브라우저에서 AI 에이전트 보안까지 실습하는 MIRAGE 공개

MIRAGE는 0단계부터 40단계까지 이어지는 웹 보안 실습 코스이며, 모든 단계가 브라우저 안에서 실행된다. 별도 접속 도구, 가상머신, 보안 전용 운영체제를 준비하지 않아도 된다.

실습 범위는 정보 수집, 화면에서만 믿고 처리하는 위험한 설계, 잘못된 접근 제어, IDOR, BOLA, 같은 서비스의 RLS 설정 실수까지 포함한다. 로그인, JWT, 토큰 악용, SQLi·NoSQLi·SSTI·명령 주입 같은 여러 주입 공격, XSS, SSRF, 안전하지 않은 역직렬화, 문제도 다룬다.

마지막 부분은 AI와 공격으로 이어지며, , 저장된 악성 지시, 마크다운 이미지로 정보가 빠져나가는 출력 처리 문제, 도구 권한이 너무 넓은 의 혼동된 대리자 문제, 벡터 저장소의 BOLA를 포함한다. 내용은 2025~2026년에 실제로 나온 CVE와 사고 사례에 맞춰 구성되며, EchoLeak와 비슷한 간접 주입 공격도 포함된다.

핵심 포인트

  • 0~40단계 웹 보안 실습을 브라우저에서 바로 진행할 수 있다.
  • 웹 앱의 접근 제어, 로그인, 토큰, , , 주입 공격을 폭넓게 다룬다.
  • AI/LLM 파트에는 , 저장된 악성 지시, 출력 처리 문제, 도구 남용이 포함된다.
  • 가 외부 도구를 쓸 때 생기는 권한 오남용과 데이터 유출 위험을 실습으로 볼 수 있다.
  • 2025~2026년 실제 취약점과 사고 사례를 바탕으로 구성됐다.
원문 보기