XE 공식 자료실

제작자
기진곰
등록일
2015-02-13
다운로드 수
95
링크2
kijin/xe-session-shield

XSS, CSRF 및 세션 고정 공격에 방어하고, 선택적 SSL 사용시 세션 탈취 가능성을 줄여 주는 애드온입니다. 세션과 쿠키를 함께 사용하여 공격 여부를 판단하며, 세션에 이상이 있을 경우 강제 로그아웃 조치합니다.

라이선스
LGPL v2
설치경로
./addons/session_shield
최초 등록일
2015-02-11
전체 다운로드
3,345

상세 설명

XSS 및 세션 고정 공격에 방어하고, 특정 상황에서의 세션 탈취 가능성을 줄여 주는 애드온입니다. @AJKJ 님의 XSS Session Protector 애드온을 바탕으로 SSL 선택적 사용시의 세션 보안을 강화하고, 일부 IE 버전과의 호환성을 개선하고, 정기적으로 세션 식별자를 교체해 주는 기능을 추가했습니다.

XSS 방어를 위해 httpOnly 속성을 가진 xe_shield 쿠키, 세션 탈취 피해를 줄이기 위해 secure 속성을 가진 xe_shield_ssl 쿠키를 생성합니다. (스크린샷 참조) 이 쿠키들은 세션 고정 공격을 막기 위해 5분마다 자동 갱신되며, 로그인시에는 즉시 갱신됩니다. 세션에 저장된 쿠키 정보와 실제 전송된 쿠키값이 일치하지 않을 경우 해킹으로 간주하고 강제 로그아웃 조치합니다.

XE에서 사용하는 세션 식별자(PHPSESSID)는 건드리지 않으므로, 로그인이 풀리거나 파일 업로드가 되지 않는 문제는 발생하지 않을 것으로 예상됩니다. 단, SSO, 가상사이트, 같은 도메인 아래에 XE를 2개 이상 설치한 경우의 호환성은 충분히 테스트되지 않았으므로 주의하시기 바랍니다.

v1.1에서는 빠른 시간 내에 많은 요청을 할 경우 발생할 수 있는 경쟁 상태(race condition)를 회피하는 코드를 추가하였습니다. 단, "인증 세션 DB 사용" 옵션을 사용할 경우 여전히 경쟁 상태에 따른 강제 로그아웃이 발생할 수 있으니 주의해 주십시오.

포럼 1

로그인 후 작성할 수 있습니다.
  • 2015-02-14 07:27:48 제작자 기진곰

    @ひりゅう. 정상적인 사용자가 가끔 로그아웃되는 문제를 완전히 해결하고 나면 쉬운설치도 풀어줄 계획입니다. 지금은 테스트 중이라...