报告强调内HealthCare.gov几个安全问题

虽然其中大部分已得到修复，最近交付给国会的一份报告强调了几个安全问题上Healthcare.gov，其中大部分可能已经轻易地被解决了基本的安全检查。检查说没有但是发生，因为HealthCare.gov被赋予推出安全放弃之前。

    [ 与Healthcare.gov缺少标准建立一体化的斗争 ]

    本月早些时候，CBS新闻发现，最终的安全检查HealthCare.gov被推迟三次。最终，奥巴马政府本身给予豁免，并推出了价格合理的医疗保健法案的主要网站，不确定性的水平，被视为高风险。

    下面的这个故事，民间组织与凯尔·亚当斯谈到，对于Web应用程序的Junos的首席软件架构师在安全Juniper网络公司，谁审查HealthCare.gov以及由肯塔基州，佛蒙特州管理的其他医疗保健网站，和马里兰州。HealthCare.gov，当亚当斯研究，生产，这就意味着bug的代码错误，提高一个红色的标志，如bug的代码往往意味着漏洞的代码。

    “在可能的第一和最流行的攻击将是跨站点脚本（XSS），SQL注入，跨站点请求伪造（CSRF）攻击和打开重定向。有些网站的确拥有CSRF保护的迹象，但不是所有的其中，我认为第一轮攻击，我们很可能看到的将涉及网络钓鱼。例如，如果攻击者发现了一个XSS，CSRF，或者打开重定向，所有这些使他们能够推出非常有效的网络钓鱼活动，“亚当斯解释的时间。

    在提交给由代表科学众议院共和党发起听证会的报告，空间和技术委员会，戴维·肯尼迪的TrustedSec有限责任公司的首席执行官，报道其中的一些具体缺陷。

    TrustedSec的报告，可供下载在这里，强调的是亚当斯是担心同样的缺陷之一。一个从报告的漏洞是开放的重定向;一个漏洞，使攻击者只需通过点击一个链接，这是一个现成的网络钓鱼攻击向量来重定向访问者到一个域。

    一个可能的攻击会看到一个人点击一个HelthCare.gov链接，是一切正常合法的意见。

 

该TrustedSec报告还挑出其他基本安全错误，包括XML注入，所剩下暴露给公众测试领域，被暴露在公众用户配置文件，正在与第三方，与政府（包括独立上市的共享信息与百利共享数据），公开提供文件上传脚本（的jQuery.js），以及相关的跨域共享HTML5的问题。