クロスサイトリクエストフォージェリに関する問題のトラブルシューティング
クロスサイトリクエストフォージェリ (CSRF) では、さまざまな理由でエラーが発生します。
1. クライアントまたはネットワークインフラストラクチャの問題により、ユーザーリクエストの検証メカニズムが壊れている。
2. ソフトウェアの問題により、誤検知レポートが生成される。
3. 合法的 CSRF 攻撃である。
CSRF 攻撃のアラートを受け取った場合、次の手順を実行してください。
1. Windchill の使用中のバージョンの最新のメンテナンスリリースに更新し、最新のソフトウェア修正を取得します。
2. 現在の Windchill メンテナンスリリースに最新のセキュリティ更新パッチを適用し、最新のセキュリティ修正を取得します。
3. 現象やセキュリティログから、これがシステムへの合法的 CSRF 攻撃かどうかを判断します。
a. 問題がユーザーによって報告された場合、そのユーザーと協力して、エラーが発生した状況や実行しようとした操作を確認します。正当な Windchill ページで正当な操作を実行しているときにエラーが発生した場合、Windchill で修正が必要な誤検知である可能性があります。
攻撃の兆候と考えられるのは、次のような場合です。
▪ Windchill とは関係のない別の Web ページやアプリケーションに移動したりリンクをクリックしたりしたときにエラーが発生した。
▪ 送信元が Windchill であることが確認できない電子メールのリンクをクリックしたときにエラーが発生した。
▪ ユーザーがまだ認証されていない場合、Windchill での予期しない認証リクエストによってエラーが発生した。
▪ Windchill のユーザーインタフェースが通常とは異なる。
▪ Windchill の URL またはホスト名が正しくない。
b. セキュリティ監査レポートに警告がある場合、ユーザー、セッション識別子、IP アドレス、日付、時刻、警告を発生させたリクエストに関する情報をレポートで確認します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
c. 管理者が電子メールで警告を受け取った場合、セキュリティ監査レポートを実行して、警告を発生させたユーザーに関する情報を取得します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
d. ログファイルで警告が見つかった場合、セキュリティ監査レポートを実行して、警告を発生させたユーザーに関する情報を取得します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
4. 誤検知を見つけた場合、または不明点がある場合は、PTC テクニカルサポートに問い合わせてください。
a. <Windchill>\codebase\WEB-INF\log4jMethodServer.properties ファイルに次の行を追加し、追加のデバッグ情報を有効にします。
logger.appsec.name=com.ptc.core.appsec
logger.appsec.level=ALL
logger.utilHttpParameters.name=org.apache.tomcat.util.http.Parameters
logger.utilHttpParameters.level=TRACE
b. 問題を再現します。
c. PTC テクニカルサポートへのお問い合わせに、ログファイル情報を含めます。
5. ユーザーが合法的 CSRF 攻撃の標的となっていると思われる場合、内部 IT セキュリティチームと協力して対応します。