XSS Session Protector
2015-02-24 내용추가
본 애드온이 아닌 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다.
본 애드온의 기능을 포함한 더 강력한 애드온 입니다.
--------------------
http only Cookie를 이용하여 XSS Session hijacking을 방지해 주는 adddon입니다.
Session Hijacking 뿐만이 아니라 XE에 존재하는 session fixation 위험도 줄여줍니다.
자료 분류 | 애드온 | 0 / 0 | |
---|---|---|---|
라이선스 | LGPL v2 | ||
제작자 | AJKJ | ||
홈페이지 | example.com | ||
설치 경로 | ./addons/xss_session_protector | ||
최초 등록일 | 2014-10-27 00:00 | 전체 다운로드 | 0 |
최근 버전 | 0.1 |
다운로드
|
|
다운로드 | 0 | ||
최근 업데이트 | 2014-10-27 00:00 | 0 / 0 | |
본 애드온의 기능을 포함하고 더욱 보완한 https://www.xpressengine.com/index.php?mid=download&package_id=22753449 애드온을 이용하시는것 권장합니다. -------------------------------
Http only Cookie를 이용하여 XSS를 통한 Session hijacking/ Session fixation을 차단해 주는 addon 입니다.
현재 XE에서는 Flash의 파일업로드 문제로 Session Cookie에 httponly 가 적용되어 있지 않아서, XSS 취약점 발견시 XSS에 의한 세션 쿠키 탈취에 취약합니다. 쉽게 말해서 현재 XE는 XSS 관련 취약점 발견시 관리자의 권한을 탈취당할 수 있고, 기타 CSRF를 통한 XE session fixation 공격등을 통한 관리자 권한을 탈취당할 수 있습니다. 본 Addon은 Session과 연계된 httponly 가 적용된 쿠키를 굽고, 해당 쿠키값을 항상 검증함으로서 javascript에 의한 session hijacking/fixation에 관한 취약점(관리자 권한 탈취)을 부분적으로나마 보완해 줍니다. 만일 XE에 앞으로 발생 할 수 있는 XSS 취약점을 보완해주고, Session Fixation 공격으로 부터 안전하게 사이트를 보호해 줍니다.
- 초보자 분을 위한 간단한 요약 - XE에서 수시로 하는 업데이트중 많은 부분은 XSS라는 문제점을 보완하기 위한 것입니다. XSS에 당할 경우 관리자 권한을 탈취 당할 수 있는 심각한 문제점이 있습니다. 이 애드온은 XE의 관리자 권한 탈취를 보완해 주어 XSS 공격에 당하더라도, 관리자 권한이 뺏기지 않도록 해 줍니다.
이 자료는 XE 공식 자료실에서 자동으로 다운로드한 자료입니다. 원본 : [공식 자료실 게시글로 이동] |