Fix target blank security issue

Actualisé le 10 septembre 2016

Si vous ne le savez pas encore, une faille de sécurité importante a été découverte ou redécouverte : l’utilisation du banal target=”blank” permettrait à la page cible d’accéder à l’objet window de la page parente.

La faille du target blank, que permet elle de faire ?

Si vous avez admettons un site e-commerce, vous avez des fiches produits, dans lequels vos visiteurs peuvent ajouter des commentaires, y compris des liens vers des sources externes. Bien souvent ces liens seront automatiquement passés en target=”blank” afin d’éviter de faire sortir votre visiteur.

Toutefois à ce moment là, le hacker peut poster un commentaire, des plus réalistes, en proposant par exemple un lien vers un site qui propose un test du produit. Bien sur ce site en question serait juste un faux site, proposant un faux test, mais par contre un vrai script de hacking, qui en utilisant l’objet window, pourrait modifier la page parente, c’est à dire votre site e-commerce.

Ainsi le visiteur, consultant la page du hacker, ne se rendrait pas compte que pendant ce temps, la page du site e-commerce serait altérée, en changeant par exemple les liens de connexion, pour faire du phishing une fois que l’utilisateur serait revenu dessus, et ainsi récupérer les accès de votre client.

Ceci n’est qu’un simple exemple, mais les possibilités sont multiples.

Qui est concerné par la faille ?

Tous ceux qui utilisent un target=”_blank” sur du contenu dynamique, qui peut être fourni par le visiteur.

Comment faire pour réparer la faille ?

En attendant qu’une mise à jour peut-être plus globale ait lieu au niveau des navigateurs, vous avez la possibilité de vider l’objet window avant qu’il ne soit transmis à la page du lien. Pour ce faire, il suffit d’ajouter un attribut ‘rel’ avec certaines valeurs au lien :

Un plugin wordpress pour réparer la faille

Pour ne pas vous embêter à le faire sur tous vos contenus, voici un plugin WordPress qui vous permettra de filter automatiquement tous vos contenus et vos commentaires et d’ajouter en automatique cet attribut sur les liens sortant.

Rendez vous sur la page du plugin (bientôt disponible sur le dépôt officiel) : Target blank exploit fixer

Commentaires

Laisser un commentaire