XE 공식 자료실

XSS, CSRF, 세션 고정 공격에 방어하고, 특정 상황에서의 세션 탈취 가능성을 줄여 주는 애드온입니다. @AJKJ 님의 XSS Session Protector 애드온을 바탕으로 SSL 선택적 사용시의 세션 보안을 강화하고, CSRF 방어 기능을 추가하고, 정기적으로 세션 식별자를 교체해 주도록 개선했습니다.

XSS 방어를 위해 httpOnly 속성을 가진 xe_shield 쿠키, 세션 탈취 피해를 줄이기 위해 secure 속성을 가진 xe_shield_ssl 쿠키를 생성합니다. (스크린샷 참조) 이 쿠키들은 세션 고정 공격을 막기 위해 10분마다 자동 갱신되며, 로그인시에는 즉시 갱신됩니다. 세션에 저장된 쿠키 정보와 실제 전송된 쿠키값이 일치하지 않을 경우 해킹으로 간주하고 강제 로그아웃 조치합니다.

CSRF 방어를 위해서는 XE 코어의 checkCSRF() 함수가 이미 레퍼러 체크를 해주고 있지만, 이 함수를 호출하지 않는 모듈도 있으므로 완벽한 방어를 위해 별도로 토큰을 생성하여 웹페이지에 삽입하고 POST 방식의 폼 제출 및 AJAX 요청시 확인하도록 합니다. 세션에 저장된 토큰과 실제 폼에서 제출된 토큰이 일치하지 않을 경우 해킹으로 간주하고 폼 처리를 중단합니다.

SSO, 가상사이트, 같은 도메인 아래에 XE를 2개 이상 설치한 경우, 다른 프로그램과 로그인을 연동하는 경우, 일반 웹 방문자가 아닌 로봇을 위한 API를 운영하는 경우 등의 호환성은 충분히 테스트되지 않았으므로 주의하시기 바랍니다.

정상적인 사용자의 로그인이 풀리거나 정상적인 요청을 CSRF로 오인하는 등의 현상이 있다면 사용 환경(브라우저 종류, 인증세션 DB 사용 여부 등)에 대해 가능한 많은 정보를 포함하여 버그 신고를 해주시기 바랍니다.

로그인이 풀리는 문제가 발생한다면 REFRESH_TIMEOUT = 0 으로 변경하여 세션 식별자 교체 기능을 꺼 주시기 바랍니다. 기본 설정보다는 보안이 다소 약해질 수 있으니 꼭 필요하신 경우에만 변경해 주시고, 가능하면 SSL 환경에서 사용해 주십시오.

CSRF 방어 기능을 끄려면 $shield->checkCSRFToken() 부분을 주석처리해 주십시오. 코어와 함께 배포되는 모듈들만 사용하신다면 코어에서 제공하는 CSRF 방어 함수만으로도 충분합니다.