跨站请求伪造问题的故障排除
跨站请求伪造 (CSRF) 错误的出现可能有多个不同原因。
1. 破坏用户请求验证机制的客户端或网络设施问题。
2. 导致误报的软件问题。
3. 合法的 CSRF 攻击。
当系统提醒您防范可能的 CSRF 攻击时,应按以下步骤进行操作:
1. 将当前版本的 Windchill 更新到最新维护版本,以获得最新的软件修补程序。
2. 针对当前的 Windchill 维护版本,应用最新的安全更新修补程序,以获得最新的安全修补程序。
3. 审阅症状和安全日志,以确定这是否为系统上合法的 CSRF 攻击。
a. 当用户报告问题后,应与用户一同确定错误的发现时间以及尝试完成的操作。如果在合法 Windchill 页面上执行合法操作时发生错误,则可能是误报,需要在 Windchill 中进行修复。
以下是可能出现攻击行为的一些迹象:
▪ 在与 Windchill 不相关的另一个网页或应用程序中浏览或单击链接时发生错误。
▪ 在无法验证为来自 Windchill 的电子邮件中单击链接时发生错误。
▪ 如果用户尚未通过验证,则意外请求通过 Windchill 验证时发生错误。
▪ Windchill 用户界面显示不正常。
▪ Windchill URL 或主机名显示不正确。
b. 如果某个安全审计报告中存在警告,请审阅该报告,以获得生成警告的用户、会话标识符、IP 地址、日期、时间以及请求的相关信息。与报告中列出的用户联系,并确定错误发生时他们在执行哪些操作。使用在步骤 A 中指定的过程确定这是否为合法攻击。
c. 如果警告以电子邮件的形式发送给管理员,请运行安全审计报告,以获得生成警告的用户的相关信息。与报告中列出的用户联系,并确定错误发生时他们在执行哪些操作。使用在步骤 A 中指定的过程确定这是否为合法攻击。
d. 如果在浏览日志文件时发现警告,请运行安全审计报告,以获得生成警告的用户的相关信息。与报告中列出的用户联系,并确定错误发生时他们在执行哪些操作。使用在步骤 A 中指定的过程确定这是否为合法攻击。
4. 如果您确信已识别出误报或需要更多帮助,请联系 PTC 技术支持。
a. 通过将以下各行添加到 <Windchill>\codebase\WEB-INF\log4jMethodServer.properties 文件,可启用其他调试信息:
logger.appsec.name=com.ptc.core.appsec
logger.appsec.level=ALL
logger.utilHttpParameters.name=org.apache.tomcat.util.http.Parameters
logger.utilHttpParameters.level=TRACE
b. 重现问题。
c. 包括与 PTC 技术支持联系时使用的日志文件信息。
5. 如果怀疑某个用户是合法 CSRF 攻击的目标,请配合内部 IT 安全团队解决此问题。