Vulnerabilidade na tag target="_blank" - SECNET

Vulnerabilidade na tag target=”_blank”

Se você está acostumado utilizar a tag Target=”_blank” em links externos e não está inserindo a tag rel=”noopener”, com certeza você está deixando brechas para um ataque de phishing.

Acredito que a maioria dos sites não lida com isso corretamente, pois todos já estão acostumados a inserir a tag Target sem nenhum acompanhamento, como a tag rel=”noopener”.

Como funciona o ataque

Vulnerabilidade na tag target="_blank" - SECNETSe você utilizar a tag Target=”_blank” sem a correção, o site que está sendo vinculado ganha acesso parcial à página através da tag window.opener. Com isso, é possível alterar a página para uma página fake por exemplo, ou até executar algum código malicioso na sua página.  

Veja um exemplo: se o Facebook não tivesse corrigido esse problema, você poderia criar uma página e compartilhar no seu Facebook, e cada vez que alguém acessar seu site, você utilizaria a tag window.opener.location = ‘https: //paginafalsa.com/facebook/index-falsa.html’. Redirecionando para uma página que pede ao usuário para inserir novamente a senha do Facebook.

Não é possível fazer um teste com o WordPress, pois essa falha já foi corrigida, mas acessando essa página você consegue ver o funcionamento da vulnerabilidade.

Como corrigir

Adicione a seguinte tag em todos seus links externos: rel=”noopener”.

Obs: o Firefox não suporta a tag noopener, então você deve usar a seguinte tag: rel=”noopener noreferrer” nos seus links externos.

Apesar de você não estar acostumado em usar a tag corretamente, algumas ferramentas e sites já estão corrigindo o erro, facilitando para os usuários.

Caso você tenha um site, uma landing page, utilize a tag Target corretamente.

Se precisar de ajuda ou se quiser dar algum feedback sobre o artigo, deixe seu comentário.

Abraço ☺

Summary
Vulnerabilidade na tag target="_blank"
Article Name
Vulnerabilidade na tag target="_blank"
Description
Se você está acostumado utilizar a tag Target="_blank" em links externos e não insere a tag rel="noopener" esse artigo vai te ajudar.
Author
Publisher Name
SECNET
Publisher Logo
BACK
WordPress Video Lightbox Plugin