Je mag aannemen dat ziekenhuizen hun beveiliging goed op orde hebben, immers er ligt nogal wat gevoelige informatie in zo’n ziekenhuis. Helaas blijkt dat niet het geval voor Ziekenhuis Amstelland. Omdat Webwereld deze maand heeft uitgeroepen tot Lektober wilde ik ook weleens proberen of ik ergens kon ‘inbreken’ en heb dat dus geprobeerd bij het lokale ziekenhuis hier.
Kind kan de was doen
Tot mijn verbazing bleek dat simpeler te zijn dan ik had verwacht. Omdat ik weleens een website maak weet ik ongeveer wel hoe je iets kapot kan maken. Omdat bij Webwereld al diverse zorginstellingen langs gekomen waren begon ik bij het lokale ziekenhuis. En dat was dus meteen raak. Een simpel aanhalingstekentje in het zoekveld gaf al een een foutmelding met een waarschuwing van de database. Dus op zoek naar het loginscherm van het Content Management Systeem. Dat bleek niet heel moeilijk te raden: /cms/ achter de URL plaatsen was voldoende.
Omdat de site dus blijkbaar geen invoervalidatie gebruikte (want foutmelding bij zoekveld) heb ik de volgende code ingegeven bij het veld gebruikersnaam: bla' OR username LIKE '%' LIMIT 2,10 -- ' . Daarmee heb ik de database-query gemanipuleerd zodat het mogelijk wordt om in te loggen zonder geldige gebruikersnaam en wachtwoord. En tadaa!!! Het werkte, ik was binnen.
Beheer over de hele site
Ik kon alles aanpassen, verwijderen of toevoegen. Zelfs formulieren die bezoekers van de website konden invullen om in contact met hun specialist te komen waren aanpasbaar. Ik kon simpelweg het e-mailadres van dat formulier aanpassen zodat niet de specialist, maar ik de gegevens van die patiënt kon ontvangen. Uiteraard heb ik niets gedaan, maar netjes het lek gemeld bij het ziekenhuis dat het al binnen 12 uur gedicht heeft. De bovenstaande methode is dus niet meer toepasbaar. Gelukkig maar.
Bewijsmateriaal
Update 18 oktober 2011
Het lek is inmiddels opgepakt door Brenno de Winter van Webwereld en toegevoegd aan hun Lektober overzicht. Oh.. en ik sta in het lokale suffertje (whoo!).