A prescrição eletrônica é o serviço do novo sistema de prescrição única, em funcionamento desde 2013. Com o sistema de prescrição eletrônica, a EOPYY pode “ver” em tempo real o andamento da execução de uma referência para um exame diagnóstico ou tratamento, desde o momento em que a prescrição é escrita até ser submetida ao centro de diagnóstico ou fisioterapia.
O sistema é lançado em formato PDF e na fatura. Dessa forma, o mesmo encaminhamento não poderá ser executado pela segunda vez, enquanto o EOPYY pode controlar e compensar suas despesas direta e completamente eletronicamente, sem precisar comparar os documentos reais dos documentos.
Ao mesmo tempo, todos os equipamentos médicos dos provedores e suas características técnicas são registrados no sistema; portanto, toda vez que um paciente fizer um exame, o sistema saberá a capacidade da máquina e a carga será classificada de acordo. (Informações da SKAI)
O nosso site amigável iguru fez uma revelação muito séria que apresentaremos a você imediatamente. Não são poucas as vezes que mencionamos Script entre sites. É uma vulnerabilidade muito perigosa que pode arruinar seu site, reputação e exibir os dados de seus usuários. Se você não acredita nisso, ninguém pode salvá-lo de sua inocência
Toda a sua infraestrutura está em risco e não importa se você possui o Oracle como base e JSP, ASP com SQL ou se possui protocolos de criptografia (HTTPS).
Infelizmente, a segurança ainda não está na agenda de empresas e instituições, mas os ataques estão evoluindo rapidamente e os hackers estão em um nível melhor do que os defensores.
Https://www.e-prescription.gr tem mais de um problema. Aqui estão alguns deles:
O que o atacante pode fazer?
1º Cliente – Cenário HTMLi
O invasor deseja roubar as senhas dos usuários e, nesse cenário, ele usará técnicas de phishing que, com a ajuda das mídias sociais, não será difícil enganá-lo.
O que isso pode fazer com o HTMLi?O link a seguir explica a vulnerabilidade sem levar a um caminho real que revela a lacuna de segurança. (Portanto, você não precisa tentar porque obterá 404).
https://www.e-prescription.gr/vulnerable.php,asp,jsp?name=
Por favor insira seu nome de usuário e senha
Se você conhece um pouco de HTML, não terá dificuldade em descobrir como criar um formulário de dois campos e um botão para enviar seus dados ao site do invasor.
2º Cenário de Ataque (Administrador) – CSRF
Nesse cenário, o invasor não está interessado nos usuários, mas no administrador.Ele encontra vulnerabilidade no site e o uso do CSRF consegue se comunicar com seu servidor da Web.
Quando o administrador olha para o arquivo de log, o script é executado e coisas estranhas podem acontecer, por exemplo:
Vou lhe mostrar, com a ajuda de Owasp Mutillidae, que isso pode ser alcançado e não é diferente do problema real da prescrição eletrônica
Nós encontramos o problema e inserimos o código malicioso e não apenas um3 prescrições eletrônicas
O administrador entra para visualizar o arquivo de log
4 prescrição eletrônica e uma solicitação POST foi feita ao servidor do hacker. Agora eu sei onde ele está arquivo de log, mas é claro que muitos outros cenários podem acontecer.
Considere também se há XSS, por exemplo, no fórum com esse ataque específico, o que pode acontecer.
3º Cenário de Redirecionamento 6 e-prescrição
Nesse cenário, o invasor não está interessado em prescrição eletrônica, mas deseja sua ajuda para transferi-lo para o próprio site.Por exemplo, ele envia uma imagem como a seguir
Quando você é transferido para o site dele com a ajuda da prescrição eletrônica, não será difícil um malware chegar ao seu computador ou algo mais acontecer com você.É bom evitar redirecionamentos pelo site. Uma lacuna é suficiente para eliminar um site como a prescrição eletrônica e exibir dados confidenciais.
Como mencionado acima, por razões de proteção do site da Prescrição Nacional e para não ser usado por usuários mal-intencionados, não publicamos o PoC, que temos à nossa disposição.
fonte: iguru
