Open in app

Sign in

Write

Sign in

Open Redirect

Ozkan Altunbas
2 min readJan 15, 2023

--

Merhabalar bugün Open Redirect zafiyeti üzerine yazıyorum.

URL Redirect nedir ?

URL redirect, bir web sayfasının belirli bir URL’ye yönlendirilmesini sağlar. Bu işlem, kullanıcının bir web sayfasına girdiği URL ile farklı bir web sayfasına yönlendirilmesini sağlar.

URL redirect işlemi, web sayfasının yeniden yapılandırılmasından dolayı gerekli hale geldiğinde, bir web sayfasının taşınmasından dolayı gerekli hale geldiğinde veya bir web sayfasının adının değiştirilmesinden dolayı gerekli hale geldiğinde kullanılabilir.

Bazı redirect parametreleri ise;

→redirect

→redir

→next

→url

Bu ve bunlar gibi parametrelerle Url’in başka bir Url’e yönlendirilir.

örnek olarak → https://example.com/login?redir=https://google.com

Burada ki login?redir parametresi example sitesinde login olduktan sonra sizi google.com’a yönlendirecektir.

İşte tam da bu nokta da çıkıyor zafiyet.

Open Redirect Zafiyeti nedir ?

Open redirect, web uygulamaları için ciddi bir güvenlik sorunudur. Bu açık, kullanıcıların yönlendirilmelerini sağlamak için kullanılan URL’leri manipüle etmelerine izin verir. Bu sayede, kötü niyetli bir kullanıcı, kullanıcıları kendi istediği bir web sitesine yönlendirebilir. Bu, phishing saldırılarının yapılmasına neden olur

Bu zafiyetin ortaya çıkması için ise web uygulamasının yanlış yapılandırılmış olması gerekir. Örneğin, bir web uygulaması, yönlendirme işlemi için kullanıcının girdiği URL’yi doğrudan kullanabilir. Bu durumda, kötü niyetli bir kullanıcı, URL içerisinde kendi istediği bir web sitesine yönlendirme yapabilecektir.

redirect’in genel yapısı ise şekilde ki gibidir;

görülen parametre de eğer bir zafiyet varsa bu zafiyet ortaya çıkar.

Zafiyeti önlemek için ne yapılmalı

  1. Yönlendirme işlemi sırasında kullanılan URL’lerin doğrulanması yapılması: Bu, kötü niyetli bir kullanıcının manipüle ettiği URL’leri kabul etmemesini sağlar.
  2. Yönlendirme işlemi sırasında kullanılan URL’lerin white-list’e tabi tutulması: Bu, yalnızca belirlenen ve güvenli olarak kabul edilen web sitelerine yönlendirme yapmasını sağlar.
  3. Sadece HTTPS bağlantılarını kabul etme: Bu, kötü niyetli bir kullanıcının phishing saldırılarını yapmasını engelleyecektir.
  4. Kullanıcıların yönlendirme işlemi sırasında uyarılması: Bu, kullanıcıların dikkatli olmasını sağlar ve onların güvenilir olmayan web sitelerine yönlendirilmemelerini sağlar.
  5. Yönlendirme işlemi sırasında kullanılan URL’leri saklama: Bu, kötü niyetli bir kullanıcının yaptığı yönlendirmeleri izlemek veya geri takip etmek için gerekli bilgileri sağlar.
Redirect
Vulnerability
Cybersecurity
Bug Bounty
Bug Bounty Tips

--

--

Ozkan Altunbas
Ozkan Altunbas

Written by Ozkan Altunbas

33 Followers
47 Following

Cyber Security

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams