Vulnerabilidade na tag target=”_blank”

Vulnerabilidade na tag target=”_blank”

Se você está acostumado utilizar a tag Target=”_blank” em links externos e não está inserindo a tag rel=”noopener”, com certeza você está deixando brechas para um ataque de phishing.

Acredito que a maioria dos sites não lida com isso corretamente, pois todos já estão acostumados a inserir a tag Target=”_blank” sem nenhum acompanhamento, como a tag rel=”noopener”.

Hospedagem de Sites

Mais Segurança, Suporte Especializado, Discos SSD e Migração Gratuita.

Conheça a Hospedagem de Sites

Como funciona o ataque

Vulnerabilidade na tag target=”_blank” - passo 1

Se você utilizar a tag Target=”_blank” sem a correção, o site que está sendo vinculado ganha acesso parcial à página através da tag window.opener.

Com isso, é possível alterar a página para uma página fake por exemplo.

Veja um exemplo: se o Facebook não tivesse corrigido esse problema, você poderia criar uma página e compartilhar no seu Facebook.

E cada vez que alguém acessar seu site, você utilizaria a tag window.opener.location = ‘https: //paginafalsa.com/facebook/index-falsa.html’.

Redirecionando para uma página que pede ao usuário para inserir novamente a senha do Facebook.

Não é possível fazer um teste com o WordPress, com a correção, links externos possuem por padrão a tag rel=”noopener”.

Acesse essa página para ver o funcionamento da vulnerabilidade.

Como corrigir

Adicione a seguinte tag em todos seus links externos: rel=”noopener”.

Obs: o Firefox não suporta a tag noopener, então você deve usar a seguinte tag: rel=”noopener noreferrer” nos seus links externos.

Apesar de você não estar acostumado em usar a tag corretamente, algumas ferramentas e sites já estão corrigindo o erro, facilitando para os usuários.

Caso você tenha um site, uma landing page, utilize a tag Target corretamente.

Se precisar de ajuda ou se quiser dar algum feedback sobre o artigo, deixe seu comentário.

Abraço

Como salvar suas vendas online com um clube de assinatura
A seguir:

Como salvar suas vendas online com um clube de assinatura

Como salvar suas vendas online com um clube de assinatura