Adobe Connect 계정 보안 향상

Adobe Connect Central 페이지에서 [관리] > [계정] > [추가 설정]을 클릭합니다.

CSRF 설정 섹션에서 XML API에 CSRF 보호 사용 옵션을 확인합니다.

참고: Adobe Connect 11.4가 이전 버전에 패치로 설치된 경우 이 옵션은 기본적으로 선택되어 있지 않습니다.

CSRF 보호는 클라이언트에 의존하여 보안 세션별 CSRF 쿠키와 일치하는 요청 매개 변수를 전송합니다. 모든 상태 변경 API 호출은 다음과 같이 보호됩니다.

• acl-create
• acl-field-update
• acl-multi-field-update
• permissions-update
• sco-update
• sco-upload

다음 단계를 따르십시오.

1. 인증하면 다음과 같은 쿠키가 생성됩니다.

• 기본 Connect 세션 쿠키인 BREEZESESSION
• Connect 세션 쿠키 기반 CSRF 쿠키인 BreezeCCookie

2. common-info API를 호출하여 CSRF 쿠키(BreezeCCookie)에 해당하는 CSRF 토큰을 가져옵니다.

• CSRF 토큰은 <OWASP_CSRFTOKEN><token>...........</token></OWASP_CSRFTOKEN>와 같이 반환됩니다.

3. BreezeCCookie를 쿠키로 사용하고 OWASP_CSRFTOKEN을 사용하여 상태를 변경하는 모든 후속 HTTP GET API 호출을 전송합니다. 예를 들어 다음과 같습니다.

     https://\[SERVER_URL\]/api/xml?action=\[state changing action\]&........&OWASP_CSRFTOKEN=[token_extracted_above]

4. 단일 HTTP POST 방법을 통해 단일 또는 다중 XML API를 호출하는 통합인 경우 다음과 같이 OWASP_CSRFTOKEN(BreezeCCookie CSRF 쿠키와 함께)을 전송합니다.

    <actions mode='...' OWASP_CSRFTOKEN=[token_extracted_above]>

다음 경로에 XML API 호출의 CSRF 보호 면제 옵션을 사용 설정합니다.

이 옵션을 선택하면 서버에서 생성한 보안 URL이 표시됩니다. 이 URL을 사용하면 XML API 통합을 사용하는 계정은 서버에서 생성된 안전하고 고유한 URL 경로로 계속해서 XML API를 호출할 수 있습니다.