Exclusivo: Doenças em e-prescription.gr

Você conhece a prescrição eletrônica. Para quem não sabe, o serviço é o novo sistema de prescrição única, em funcionamento desde 2013.Com o sistema de prescrição eletrônica, a EOPYY pode “ver” em tempo real o andamento da execução de um encaminhamento para um teste de diagnóstico ou tratamento, desde o momento em que a prescrição é redigida até o momento em que é submetida ao centro de diagnóstico ou fisioterapia.segurança

O sistema é lançado em formato PDF e na fatura. Dessa forma, o mesmo encaminhamento não poderá ser executado pela segunda vez, enquanto o EOPYY pode controlar e compensar suas despesas direta e completamente eletronicamente, sem precisar comparar os documentos reais dos documentos.

Ao mesmo tempo, todos os equipamentos médicos dos provedores e suas características técnicas são registrados no sistema; portanto, toda vez que um paciente fizer um exame, o sistema saberá a capacidade da máquina e a carga será classificada de acordo. (Informações da SKAI)

Não são poucas as vezes que mencionamos Script entre sites. É uma vulnerabilidade muito perigosa que pode arruinar seu site, reputação e exibir os dados de seus usuários. Se você não acredita nisso, ninguém pode salvá-lo de sua inocência

Toda a sua infraestrutura está em risco e não importa se você tem o Oracle como base e JSP, ASP com SQL ou se possui protocolos de criptografia (HTTPS)

Infelizmente, a segurança ainda não está na agenda de empresas e instituições, mas os ataques estão evoluindo rapidamente e os hackers estão em um nível melhor do que os defensores.

Atualizamos o site, mas ninguém entrou em contato conosco ainda, por isso não posso mostrar fotos do PoC. Mas descreverei da melhor maneira possível como tirar proveito de alguns dos problemas.

Https://www.e-prescription.gr tem mais de um problema. Aqui estão alguns deles:

  • HTMLi
  • CRSF
  • Redirecionamento não validado
  • O que o atacante pode fazer?

  • Para roubar o ID da sessão do usuário
  • Para gravar os movimentos do mouse e do teclado
  • Para roubar arquivos do computador do invasor
  • Para fazer ataques DDoS
  • Para atacar a Intranet
  • Criar shell XSS
  • 1º Cliente – Cenário HTMLiprescrição eletrônica de phishing

    O invasor deseja roubar as senhas dos usuários e, nesse cenário, ele usará técnicas de phishing que, com a ajuda das mídias sociais, não será difícil enganá-lo.

  • O que isso pode fazer com o HTMLi?
  • O link a seguir explica a vulnerabilidade sem levar a um caminho real que revela a lacuna de segurança. (Portanto, você não precisa tentar porque obterá 404).

    https://www.e-prescription.gr/vulnerable.php,asp,jsp?name=

    Por favor insira seu nome de usuário e senha

    Nome do usuário:
    Código:

    Se você conhece um pouco de HTML, não terá dificuldade em descobrir como criar um formulário de dois campos e um botão para enviar seus dados ao site do invasor.

    2º Cenário de Ataque (Administrador) – CSRFcavalo de Tróia

    Nesse cenário, o invasor não está interessado nos usuários, mas no administrador.Ele encontra vulnerabilidade no site e o uso do CSRF consegue se comunicar com seu servidor da Web.

    Quando o administrador olha para o arquivo de log, o script é executado e coisas estranhas podem acontecer, por exemplo:

  • Encontre o caminho do arquivo de log
  • Obtenha o admin sessionID
  • Vou lhe mostrar, com a ajuda de Owasp Mutillidae, que isso pode ser alcançado e não é diferente do problema real da prescrição eletrônica

  • Nós encontramos o problema e inserimos o código malicioso e não apenas um
  • 3

  • O administrador entra para visualizar o arquivo de log
  • 4e uma solicitação POST foi feita ao servidor do hacker. Agora eu sei onde está o arquivo de log, mas é claro que muitos outros cenários podem acontecer.

    Considere também se há XSS, por exemplo, no fórum com esse ataque específico, o que pode acontecer.

    3º Cenário de Redirecionamento6

    Nesse cenário, o invasor não está interessado em prescrição eletrônica, mas deseja sua ajuda para transferi-lo para o próprio site.Por exemplo, ele envia uma imagem como a seguir

    Quando você vai ao site dele com a ajuda da prescrição eletrônica, não será difícil para alguns malwares descer ao seu computador ou algo mais acontecer com você..É uma boa ideia evitar redirecionamentos do seu site.

    Uma lacuna é suficiente para eliminar um site como a prescrição eletrônica e exibir dados confidenciais.

    Gostaria de discutir mais o problema deles, mas, infelizmente, por razões de segurança, não podemos fazê-lo.

    Esperamos que, após a publicação das falhas de segurança acima, os interessados ​​diretamente entrem em contato conosco.

    Como mencionado acima, por razões de proteção do site da Prescrição Nacional e para não ser usado por usuários mal-intencionados, não publicamos o PoC, que temos à nossa disposição.

    Além disso, permanecemos à disposição de qualquer parte interessada pelo organismo, se necessário, para fornecer mais detalhes.

    Alimento para a mente