XE 공식 자료실

제작자
기진곰
등록일
2015-02-11
다운로드 수
142
링크2
kijin/xe-session-shield

XSS, CSRF 및 세션 고정 공격에 방어하고, 선택적 SSL 사용시 세션 탈취 가능성을 줄여 주는 애드온입니다. 세션과 쿠키를 함께 사용하여 공격 여부를 판단하며, 세션에 이상이 있을 경우 강제 로그아웃 조치합니다.

라이선스
LGPL v2
설치경로
./addons/session_shield
최초 등록일
2015-02-11
전체 다운로드
3,537

상세 설명

XSS 및 세션 고정 공격에 방어하고, 특정 상황에서의 세션 탈취 가능성을 줄여 주는 애드온입니다. @AJKJ 님의 XSS Session Protector 애드온을 바탕으로 SSL 선택적 사용시의 세션 보안을 강화하고, 일부 IE 버전과의 호환성을 개선하고, 정기적으로 세션 식별자를 교체해 주는 기능을 추가했습니다.

XSS 방어를 위해 httpOnly 속성을 가진 xe_sesh1 쿠키, 세션 탈취 피해를 줄이기 위해 secure 속성을 가진 xe_sesh2 쿠키를 생성합니다. (스크린샷 참조) 이 쿠키들은 세션 고정 공격을 막기 위해 5분마다 자동 갱신되며, 로그인시에는 즉시 갱신됩니다. 세션에 저장된 쿠키 정보와 실제 전송된 쿠키값이 일치하지 않을 경우 해킹으로 간주하고 강제 로그아웃 조치합니다.

XE에서 사용하는 세션 식별자(PHPSESSID)는 건드리지 않으므로, 로그인이 풀리거나 파일 업로드가 되지 않는 문제는 발생하지 않을 것으로 예상됩니다. 단, SSO, 가상사이트, 같은 도메인 아래에 XE를 2개 이상 설치한 경우의 호환성은 충분히 테스트되지 않았으므로 주의하시기 바랍니다.

포럼 0

로그인 후 작성할 수 있습니다.