Numero di postback DoS per sessione in InfoPath Forms Services - Evento 5736

  • Articolo

 

Si applica a: SharePoint Server 2010 Enterprise

Ultima modifica dell'argomento: 2009-08-13

Nome avviso: Numero di postback DoS per sessione in InfoPath Forms Services

ID evento:   5736

Riepilogo:   Per alcuni controlli di modulo, azioni e caratteristiche di InfoPath è necessario che il browser comunichi con il server durante una sessione di modulo. Questo scambio di dati durante la sessione è chiamato postback e di norma avviene quando una caratteristica del modulo deve inviare i dati al server per l'elaborazione. Postback non necessari impongono un carico aggiuntivo sia al browser che al server. Per proteggere il server si imposta una soglia per il numero massimo di postback consentiti per sessione. In questo modo si pone un limite al numero di postback che possono essere eseguiti durante una sola sessione quando un utente compila un modulo e si evita che utenti malintenzionati possano mettere fuori uso il server.

Un utente ha superato la soglia che era stata impostata per il numero di postback consentiti per una sessione di modulo. Quando si verifica questa condizione, la sessione utente viene interrotta per proteggere il server.

Sintomi:   nel registro eventi può comparire il messaggio seguente: ID evento: 5736 Descrizione: numero di postback, <numero intero>, superiore al valore massimo consentito per sessione. Questo valore è configurabile e può essere modificato dall'amministratore. (Utente: <NomeUtente>, nome modulo: <NomeModulo>, richiesta: <http://nomeserver/_layouts/Postback.Formserver.aspx>, ID modulo: <IDModulo>)

Causa: le cause potrebbero essere una o più delle seguenti:

  • Un utente ha cercato di eseguire un attacco di tipo Denial of Service (DoS) in un server in cui è in esecuzione InfoPath Forms Services in Microsoft SharePoint Server 2010.

  • Il numero di postback consentito per sessione di modulo di InfoPath è troppo basso.

Soluzione:   controllare se nei registri dei server sono rintracciabili indicazioni di un attacco DoS

  • Controllare se nel registro eventi di Windows e nei registri di Internet Information Services (IIS) vi sono tracce di un attacco DoS. Se si tratta di un attacco DoS e se è stato coinvolto un modulo di modello approvato dall'amministratore, rimuovere il modello di modulo dalla raccolta siti o disattivarlo..

    Per controllare il registro eventi di Windows:

    1. Aprire il Visualizzatore eventi di Windows.

    2. Cercare l'evento con ID 5736 nel registro eventi applicazioni di Windows.

    3. Nella descrizione dell'evento controllare l'ID del modulo. In presenza di più eventi per lo stesso ID modulo, è possibile che un utente malintenzionato abbia distribuito un modulo che sta causando molti postback nel tentativo di mettere fuori uso il server.

    Per controllare i registri di IIS:

    1. Passare a \inetpub\logs per controllare i registri di IIS.

    2. Le voci dei registri di Internet Information Services (IIS) possono essere messe in relazione con le informazioni del registro eventi. Se nel registro di IIS vi sono molte richieste GET per un modulo specifico e se il modulo sta causando molti postback, che vengono registrati, potrebbe essere in corso un attacco DoS.

    3. Le voci del registro di IIS log possono contenere anche l'indirizzo IP del computer che ha inviato la richiesta.

    Per disattivare un modello di modulo da una raccolta siti:

    1. Nel sito Web Amministrazione centrale SharePoint fare clic su Impostazioni generali applicazione nella barra di avvio veloce e quindi fare clic su Gestisci modelli di modulo nella sezione InfoPath Forms Services.

    2. Fare clic sul modello di modulo che si desidera disattivare nell'elenco dei modelli di modulo e quindi fare clic su Disattiva da raccolta siti nell'elenco a discesa.

    3. Nella sezione Posizione di disattivazione della pagina Disattiva modello di modulo: <modello>, selezionare la raccolta siti e quindi fare clic su OK.

    Per rimuovere completamente un modello di modulo:

    1. Nella pagina Amministrazione centrale fare clic su Impostazioni generali applicazione nella barra di avvio veloce e quindi fare clic su Gestisci modelli di modulo nella sezione InfoPath Forms Services.

    2. Fare clic sul modello di modulo desiderato nell'elenco dei modelli di modulo e quindi fare clic su Rimuovi modulo nell'elenco a discesa.

Soluzione:   aumentare il numero di postback consentiti per sessione

  1. Nella pagina Amministrazione centrale fare clic su Impostazioni generali applicazione nella barra di avvio veloce e quindi fare clic su Configura InfoPath Forms Services nella sezione InfoPath Forms Services.

  2. Nella sezione Soglie aumentare il valore per il numero di postback consentiti per sessione.

    Nota

    Aumentare il valore di questa impostazione può avere effetti negativi sulle prestazioni del server e accrescere i rischi di attacchi Denial of Service al server.