22:33 Использование атрибута target=_blank в ссылках повышает риск фишинговых атак | |
Об уязвимости стало известно несколько лет назад, однако она до сих пор присутствует на многих популярных ресурсах. Сайты, использующие атрибут target="_blank" в своих ссылках, подвергают пользователей риску фишинговых атак и, соответственно, утечки данных. Об уязвимости target="_blank" стало известно два года назад, однако она до сих пор присутствует на многих популярных ресурсах. Суть уязвимости заключается в следующем: когда пользователь переходит по ссылке, использующей target="_blank", браузер открывает новую вкладку. Данная вкладка на короткое время получает доступ к странице-источнику через объект window.opener. Таким образом, только что открытая вкладка может изменить window.opener.location, то есть вместо предыдущей вкладки незаметно подгрузить совсем другую страницу. К примеру, если пользователь перейдет по ссылке (использующей атрибут target="_blank") в Facebook, злоумышленник может незаметно заменить страницу подделкой, которая позже уведомит жертву о необходимости заново авторизоваться. Таким образом, учетные данные жертвы окажутся в руках преступника. Разработчик Бен Хэлперн (Ben Halpern) составил список крупных сайтов, уязвимых к данному методу атаки. В их числе оказались Instagram, Facebook и Twitter (если ссылки открываются в браузере Safari). Исследователь проинформировал компании об уязвимости, но на сегодняшний день она исправлена только в Instagram. Разработчик предложил свой метод предотвращения эксплуатации данной проблемы. Он заключается в добавлении атрибута rel="noopener" во все ссылки на сайте. Поскольку браузер Mozilla Firefox не полностью поддерживает данный атрибут, вместо rel="noopener" может использоваться rel="noopener noreferrer". | |
|
Похожие материалы
Всего комментариев: 0 | |