H Heckah Lab

Browser CTF für den Unterricht

Heckah Lab

Zehn kleine Web-Security-Aufgaben mit Inspector, Console, Network-Tab, erklärendem Buddy und Punktestand. Alles läuft als isoliertes Lernlabor unter /heckah.

Erste Mission
10 Missionen
1000 Punkte
0 Serverzugriff
01

Cookie Gate

Warum Client-Cookies keine Rollenprüfung ersetzen.

02

Inspector Request

Ein DOM-Attribut steuert eine Anfrage.

03

Sandbox XSS

JavaScript ausbrechen lassen, aber nur im sicheren Iframe.

04

JWT None

Ein Token fälschen und den kaputten Verifier austricksen.

05

Traversal

Pfadlogik umgehen, ohne das echte Dateisystem zu berühren.

06

IDOR

Eine fremde Abgabe nur durch eine andere ID öffnen.

07

CSRF

Eine harmlose Karte löst eine Aktion im Konto aus.

08

SSRF

Ein URL-Fetcher liest virtuelle interne Dienste.

09

Race

Zwei schnelle Klicks kaufen mehr als erlaubt.

10

Redirect

Ein Parameter bestimmt, wohin ein Login führt.

Mission 01

Cookie Gate

Ein Login vertraut blind auf eine sichtbare Browser-Info.

100 Punkte
Ziel

Öffne den Mentorbereich und finde die Flag.

3 Hilfen und Lösungsweg anzeigen
Lösungsweg anzeigen

    Lab Regeln

    Alles hier ist absichtlich verwundbar, aber synthetisch. Es gibt keine Shell, keine echten Secrets, keine Uploads und keinen Zugriff auf den VPS.

    Arbeite bewusst mit Browser-DevTools: Inspector, Console, Network, Cookies, Tokens und Payloads. Wenn du eine Flag findest, reiche sie im Lab ein.