XE 공식 자료실

전체보기

XE 공모전 2014 출품작 보기 자료 등록/관리

애드온 XSS Session Protector ver. 0.1

제작자: AJKJ
등록일: 2014-10-27
다운로드 수: 705
링크1: example.com

2015-02-24 내용추가

본 애드온이 아닌 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.
본 애드온의 기능을 포함한 더 강력한 애드온 입니다.
--------------------
http only Cookie를 이용하여 XSS Session hijacking을 방지해 주는 adddon입니다.
Session Hijacking 뿐만이 아니라 XE에 존재하는 session fixation 위험도 줄여줍니다.

라이선스: LGPL v2
설치경로: ./addons/xss_session_protector
최초 등록일: 2014-10-23
전체 다운로드: 705

다운로드 ver. 0.1

모든 버전 보기

체험하기

쉬운설치로 바로 체험할 수 있습니다

스크린샷

상세 설명

본 애드온의 기능을 포함하고 더욱 보완한 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.

-------------------------------

Http only Cookie를 이용하여 XSS를 통한 Session hijacking/ Session fixation을 차단해 주는 addon 입니다.

현재 XE에서는 Flash의 파일업로드 문제로 Session Cookie에 httponly 가 적용되어 있지 않아서, XSS 취약점 발견시 XSS에 의한 세션 쿠키 탈취에 취약합니다.

쉽게 말해서 현재 XE는 XSS 관련 취약점 발견시 관리자의 권한을 탈취당할 수 있고, 기타 CSRF를 통한 XE session fixation 공격등을 통한 관리자 권한을 탈취당할 수 있습니다.

본 Addon은 Session과 연계된 httponly 가 적용된 쿠키를 굽고, 해당 쿠키값을 항상 검증함으로서 javascript에 의한 session hijacking/fixation에 관한 취약점(관리자 권한 탈취)을 부분적으로나마 보완해 줍니다.

만일 XE에 앞으로 발생 할 수 있는 XSS 취약점을 보완해주고, Session Fixation 공격으로 부터 안전하게 사이트를 보호해 줍니다.

- 초보자 분을 위한 간단한 요약 -

XE에서 수시로 하는 업데이트중 많은 부분은 XSS라는 문제점을 보완하기 위한 것입니다. XSS에 당할 경우 관리자 권한을 탈취 당할 수 있는 심각한 문제점이 있습니다.

이 애드온은 XE의 관리자 권한 탈취를 보완해 주어 XSS 공격에 당하더라도, 관리자 권한이 뺏기지 않도록 해 줍니다.

포럼 4

로그인 후 작성할 수 있습니다.

2014-11-03 01:11:10 제작자 AJKJ

애드온을 선택하거나 Core에 적용하거나, 원하시는 데로 하시면 됩니다. 다만 추후 Core 업글을 위해서라면, 애드온 적용이 편리하겠지요. 성능이 중요하시다면 Core를 수정하는게 좋겠고요.(애드온이 많아지면 성능이 느려진다는 말이 있는데 얼마나 느려지는지는 잘 모르겠네요.)
2014-11-03 01:07:12 こさき!

답변해주셔서 감사합니다:)
그거 보고 적용해봤었는데 지금은 그냥 다시 돌려놓는게 좋을까요?
2014-11-02 21:55:09 제작자 AJKJ

github PR은 내렸습니다. (업로더 변경 및 세션쿠키 받아들이기)다른 방법으로 해결해야 하는 문제라고 생각해야 해서 그렇습니다.
2014-11-01 18:29:30 こさき!

github에 PR하신것과 어떤 차이가 있나요?