虽然其中大部分已得到修复,最近交付给国会的一份报告强调了几个安全问题上Healthcare.gov,其中大部分 […]
虽然其中大部分已得到修复,最近交付给国会的一份报告强调了几个安全问题上Healthcare.gov,其中大部分可能已经轻易地被解决了基本的安全检查。检查说没有但是发生,因为HealthCare.gov被赋予推出安全放弃之前。
[ 与Healthcare.gov缺少标准建立一体化的斗争 ]
本月早些时候,CBS新闻发现,最终的安全检查HealthCare.gov被推迟三次。最终,奥巴马政府本身给予豁免,并推出了价格合理的医疗保健法案的主要网站,不确定性的水平,被视为高风险。
下面的这个故事,民间组织与凯尔·亚当斯谈到,对于Web应用程序的Junos的首席软件架构师在安全Juniper网络公司,谁审查HealthCare.gov以及由肯塔基州,佛蒙特州管理的其他医疗保健网站,和马里兰州。HealthCare.gov,当亚当斯研究,生产,这就意味着bug的代码错误,提高一个红色的标志,如bug的代码往往意味着漏洞的代码。
“在可能的第一和最流行的攻击将是跨站点脚本(XSS),SQL注入,跨站点请求伪造(CSRF)攻击和打开重定向。有些网站的确拥有CSRF保护的迹象,但不是所有的其中,我认为第一轮攻击,我们很可能看到的将涉及网络钓鱼。例如,如果攻击者发现了一个XSS,CSRF,或者打开重定向,所有这些使他们能够推出非常有效的网络钓鱼活动,“亚当斯解释的时间。
在提交给由代表科学众议院共和党发起听证会的报告,空间和技术委员会,戴维·肯尼迪的TrustedSec有限责任公司的首席执行官,报道其中的一些具体缺陷。
TrustedSec的报告,可供下载在这里,强调的是亚当斯是担心同样的缺陷之一。一个从报告的漏洞是开放的重定向;一个漏洞,使攻击者只需通过点击一个链接,这是一个现成的网络钓鱼攻击向量来重定向访问者到一个域。
一个可能的攻击会看到一个人点击一个HelthCare.gov链接,是一切正常合法的意见。
该TrustedSec报告还挑出其他基本安全错误,包括XML注入,所剩下暴露给公众测试领域,被暴露在公众用户配置文件,正在与第三方,与政府(包括独立上市的共享信息与百利共享数据),公开提供文件上传脚本(的jQuery.js),以及相关的跨域共享HTML5的问题。