XE 공식 자료실

제작자
AJKJ
등록일
2014-10-27
다운로드 수
707
링크1
example.com

2015-02-24 내용추가

본 애드온이 아닌 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.
본 애드온의 기능을 포함한 더 강력한 애드온 입니다.
--------------------
http only Cookie를 이용하여 XSS Session hijacking을 방지해 주는 adddon입니다.
Session Hijacking 뿐만이 아니라 XE에 존재하는 session fixation 위험도 줄여줍니다.

라이선스
LGPL v2
설치경로
./addons/xss_session_protector
최초 등록일
2014-10-23
전체 다운로드
707
체험하기

쉬운설치로 바로 체험할 수 있습니다

상세 설명

본 애드온의 기능을 포함하고 더욱 보완한 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.

-------------------------------

 

Http only Cookie를 이용하여 XSS를 통한 Session hijacking/ Session fixation을 차단해 주는 addon 입니다.

 

현재 XE에서는 Flash의 파일업로드 문제로 Session Cookie에 httponly 가 적용되어 있지 않아서, XSS 취약점 발견시 XSS에 의한 세션 쿠키 탈취에 취약합니다.

쉽게 말해서 현재 XE는 XSS 관련 취약점 발견시 관리자의 권한을 탈취당할 수 있고, 기타 CSRF를 통한 XE session fixation 공격등을 통한 관리자 권한을 탈취당할 수 있습니다. 

본 Addon은 Session과 연계된 httponly 가 적용된 쿠키를 굽고, 해당 쿠키값을 항상 검증함으로서 javascript에 의한 session hijacking/fixation에 관한 취약점(관리자 권한 탈취)을 부분적으로나마 보완해 줍니다.

만일 XE에 앞으로 발생 할 수 있는 XSS 취약점을 보완해주고, Session Fixation 공격으로 부터 안전하게 사이트를 보호해 줍니다.

 

- 초보자 분을 위한 간단한 요약 -

XE에서 수시로 하는 업데이트중 많은 부분은 XSS라는 문제점을 보완하기 위한 것입니다. XSS에 당할 경우 관리자 권한을 탈취 당할 수 있는 심각한 문제점이 있습니다.

이 애드온은 XE의 관리자 권한 탈취를 보완해 주어 XSS 공격에 당하더라도, 관리자 권한이 뺏기지 않도록 해 줍니다.

 

 

포럼 4

로그인 후 작성할 수 있습니다.
  • 2014-11-03 01:11:10 제작자 AJKJ

    애드온을 선택하거나 Core에 적용하거나, 원하시는 데로 하시면 됩니다. 다만 추후 Core 업글을 위해서라면, 애드온 적용이 편리하겠지요. 성능이 중요하시다면 Core를 수정하는게 좋겠고요.(애드온이 많아지면 성능이 느려진다는 말이 있는데 얼마나 느려지는지는 잘 모르겠네요.)

  • 2014-11-03 01:07:12 こさき!

    답변해주셔서 감사합니다:)
    그거 보고 적용해봤었는데 지금은 그냥 다시 돌려놓는게 좋을까요?

  • 2014-11-02 21:55:09 제작자 AJKJ

    github PR은 내렸습니다. (업로더 변경 및 세션쿠키 받아들이기)다른 방법으로 해결해야 하는 문제라고 생각해야 해서 그렇습니다.

  • 2014-11-01 18:29:30 こさき!

    github에 PR하신것과 어떤 차이가 있나요?