XE 공식 자료실
- 제작자
- AJKJ
- 등록일
- 2014-10-27
- 다운로드 수
- 707
- 링크1
- example.com
2015-02-24 내용추가
본 애드온이 아닌 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.
본 애드온의 기능을 포함한 더 강력한 애드온 입니다.
--------------------
http only Cookie를 이용하여 XSS Session hijacking을 방지해 주는 adddon입니다.
Session Hijacking 뿐만이 아니라 XE에 존재하는 session fixation 위험도 줄여줍니다.
- 라이선스
- LGPL v2
- 설치경로
- ./addons/xss_session_protector
- 최초 등록일
- 2014-10-23
- 전체 다운로드
- 707
쉬운설치로 바로 체험할 수 있습니다
상세 설명
본 애드온의 기능을 포함하고 더욱 보완한 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.
-------------------------------
Http only Cookie를 이용하여 XSS를 통한 Session hijacking/ Session fixation을 차단해 주는 addon 입니다.
현재 XE에서는 Flash의 파일업로드 문제로 Session Cookie에 httponly 가 적용되어 있지 않아서, XSS 취약점 발견시 XSS에 의한 세션 쿠키 탈취에 취약합니다.
쉽게 말해서 현재 XE는 XSS 관련 취약점 발견시 관리자의 권한을 탈취당할 수 있고, 기타 CSRF를 통한 XE session fixation 공격등을 통한 관리자 권한을 탈취당할 수 있습니다.
본 Addon은 Session과 연계된 httponly 가 적용된 쿠키를 굽고, 해당 쿠키값을 항상 검증함으로서 javascript에 의한 session hijacking/fixation에 관한 취약점(관리자 권한 탈취)을 부분적으로나마 보완해 줍니다.
만일 XE에 앞으로 발생 할 수 있는 XSS 취약점을 보완해주고, Session Fixation 공격으로 부터 안전하게 사이트를 보호해 줍니다.
- 초보자 분을 위한 간단한 요약 -
XE에서 수시로 하는 업데이트중 많은 부분은 XSS라는 문제점을 보완하기 위한 것입니다. XSS에 당할 경우 관리자 권한을 탈취 당할 수 있는 심각한 문제점이 있습니다.
이 애드온은 XE의 관리자 권한 탈취를 보완해 주어 XSS 공격에 당하더라도, 관리자 권한이 뺏기지 않도록 해 줍니다.