Open Redirect. Yani bir bağlantı üzerinden bir kullanıcının başka bir adrese yönlendirilmesine izin veren açık. Yani URL’de küçük bir oynama ile kullanıcıyı farklı bir sayfaya gönderme yeteneği.
Teknik olarak zararsız gibi görünebilir. Ama yönlendirdiğin yer, bir bankanın gerçek sayfasıysa... Artık sadece yönlendirme yapmıyorsun. Bir güvenlik zincirinin halkasını kırıyorsun.
Open Redirect Nedir?
Bir URL’nin sonunda yönlendirme parametresi varsa, örneğin:
https://site.com/redirect?url=https://google.comve bu bağlantıya tıklayan kullanıcı doğrudan Google’a gidiyorsa, bu bir açık olarak kabul edilir. Çünkü bu özellik kötü niyetli kişiler tarafından şöyle suistimal edilebilir:
- URL’nin başı güvenilir görünür (örneğin bir devlet kurumu veya banka sitesi)
- Ancak sonundaki parametre gerçek olmayan bir siteye yönlendirir
- Kullanıcı tıkladığında kimlik avı sayfasına düşer
“Ben Gerçek Banka Sitesine Yönlendirdim” Diyenler İçin Sorun Nerede?
Sen sadece test yapıyor olabilirsin. Yani URL parametresiyle https://bankax.com adresine yönlendirme yapıyor olabilirsin. Ama sistemin bakış açısı farklıdır. Çünkü:
- Bankalar, kendi sistemlerine yapılan tüm yönlendirmeleri log’lar
- Yönlendirme, phishing saldırısı gibi analiz edilebilir
- URL parametresi kötü niyetli biri tarafından yeniden üretilebilir
- Senin yönlendirdiğin bağlantı, sosyal mühendislik saldırılarında referans olabilir
Yani o bağlantı bir saldırganın eline geçtiğinde, şöyle bir yapı oluşturulabilir:
https://site.com/redirect?url=https://bankax.com.fakeform.netBu sahte linkte “bankax.com” ifadesi geçiyor ama sayfa başka bir yere ait. Ve senin testin, gerçek bir saldırı aracı haline gelir.
Gerçek Bankalara Yönlendirme Yapmanın Sonuçları
- Bankanın sistem güvenliği birimine şüpheli istek olarak düşer
- Sunucu log’larında IP adresin kaydedilir
- Tekrarlayan denemeler engellenir, kara listeye alınabilirsin
- Güvenlik raporu yoksa ve bildirimde bulunulmadıysa, yetkisiz test olarak değerlendirilir
- Bankaların siber güvenlik ekipleri, bu tür denemeleri doğrudan adli vaka olarak işaretleyebilir
Ve bazı ülkelerde bu tür yönlendirmeler, kimlik avı teşebbüsü, sahte işlem simülasyonu ve hatta itibar suikastı kapsamında yargılanabilir.
Bu Testler Nasıl ve Nerede Yapılmalı?
- Sadece kendi sistemin üzerinde
- Simülasyon amaçlı kurduğun sahte domainlerde
- Test sayfaları üzerinde
- Yetki almış (bug bounty programı olan) sistemlerde
- CTF platformlarında
Eğer hedef sistem senin değilse ve sen bir redirect parametresi ile test yapıyorsan, sadece açık aramıyorsun… başkasının trafik bütünlüğüne müdahale ediyorsun.
Gerçek Hikâye: Bir Open Redirect Testi, Bir Kırmızı Alarm
Bir geliştirici, bir haber sitesinin redirect parametresini buldu. Parametreye banka sitesini yazdı. Açık olduğunu doğrulamak için kendi sosyal medya hesabından linki paylaştı: “Bakın buradan direkt bankaya gidiyor, çok açık bir güvenlik zafiyeti var.” Ama bankanın güvenlik duvarı bu yönlendirmeyi şüpheli olarak etiketledi. Bağlantı loglandı. Referans site, haber sitesi olduğu için banka bu siteyle temasa geçti. O sosyal medya paylaşımı da analiz edildi. Sonuç: Kullanıcıya ulaşıldı. Savcılık tarafından çağrıldı. “Sadece bankaya yönlendirdim” savunması yeterli olmadı.
Etik Hacker Ne Yapar?
- Gerçek sistemlerde sadece izni olan alanlarda test yapar
- Yönlendirmeleri asla kamuya açık şekilde paylaşmaz
- Test ortamı dışına taşmaz
- Bulduğu açığı yalnızca sisteme bildirir
- Test verisini saldırı aracına dönüştürmez
URL’nin Sonuna Ne Yazdığın Kadar, Başında Nerede Olduğun da Önemlidir
Open Redirect açığı bulmak beceridir. Ama bu beceriyi nasıl sunduğun seni tanımlar. Gerçek bankalara yönlendirme, teknik olarak zararsız gibi görünse de, hukuki olarak potansiyel tehdit sayılır.
Kapıyı göstermenin yolu onu açmak değildir. Ve her yönlendirme… seni de bir yere yönlendirir. Doğru yola gitmek istiyorsan, test ettiğin sistem seni çağırmış olmalı.