Angular’dagi xavfsizlik zaifligi: XSRF tokenlarining tashqi domenlarga sizib ketishiga olib kelayotgan jiddiy xavf
Veb-ilovalar xavfsizligi bugungi kunda har qachongidan muhim. Angular freymvorkidan foydalanuvchi saytlar uchun esa yaqinda aniqlangan CVE-2025-66035 zaifligi katta xavf tug‘dirmoqda. Bu xatolik tufayli Angular ilovalari foydalanuvchi XSRF tokenlarini noto‘g‘ri manzilga — hatto tajovuzkor nazorat qilayotgan domenlarga ham yuborib qo‘yishi mumkin.
Bu nimani anglatadi? Oddiy qilib aytganda, tajovuzkor foydalanuvchining maxfiy XSRF tokenini qo‘lga kiritsa, u foydalanuvchi nomidan tizimga soxta buyruqlar yuborishi, hisobni o‘zgartirishi yoki zararli harakatlarni amalga oshirishi mumkin.
Muammo nimada?
Angular ilovalari XSRF (yoki CSRF) hujumlaridan himoya qilish uchun maxfiy tokenlardan foydalanadi. Har bir so‘rovda bu token serverga yuboriladi va u so‘rovning haqiqiy foydalanuvchidan kelganini tasdiqlaydi.
Ammo aniqlangan zaiflik shundan iborat:
Angular ba’zi URL manzillarini noto‘g‘ri baholaydi.
Agar so‘rov manzili //example.com kabi protokolsiz URL bilan yozilgan bo‘lsa, Angular uni xato tarzda «o‘z domeni» deb hisoblaydi. Shuning uchun XSRF tokenni ham so‘rovga qo‘shadi.
Agar ushbu URL tajovuzkor domeniga tegishli bo‘lsa, token to‘g‘ridan-to‘g‘ri xaker qo‘liga tushadi.
Bu qanday oqibatlarga olib kelishi mumkin?
Tajovuzkor tokenni qo‘lga kiritgan zahoti quyidagi amallarni bemalol bajarishi mumkin:
- foydalanuvchi hisobini o‘zgartirish,
- parollarni tiklash jarayoniga aralashish,
- pul o‘tkazmalarini tasdiqlash,
- maxfiy ma’lumotlarni o‘chirish yoki ko‘chirish,
- foydalanuvchi nomidan serverga buyruqlar yuborish.
Boshqacha aytganda — foydalanuvchi hisobi to‘liq xavf ostiga tushadi.
Zaiflik haqida rasmiy ma’lumot
| Maydon | Qiymat |
|---|---|
| CVE ID | CVE-2025-66035 |
| Zaiflik turi | XSRF tokenning sizib chiqishi |
| CVSS | 7.5 (jiddiy) |
| Hujum yo‘li | Tarmoq orqali |
| Sabab | Notog‘ri URL baholash |
| Ta’sir | CSRF himoyasi to‘liq chetlab o‘tiladi |
Kimlar ta’sirga uchrashi mumkin?
Angular’ning ushbu mexanizmiga tayangan barcha veb-ilovalar xavf ostida:
- internet-do‘konlar,
- bank ilovalari,
- shaxsiy kabinetlar,
- davlat xizmatlari portallari,
- korporativ ichki tizimlar,
- foydalanuvchi ishonchliligiga ehtiyoj katta bo‘lgan har qanday servislar.
Muammoni qanday bartaraf etish mumkin?
1. Angular’ni darhol yangilash
Google ushbu zaiflikni yamoqlagan versiyalarni chiqargan. Eng xavfsiz yo‘l — yangilanishni o‘rnatish.
2. Protokolsiz URLlardan foydalanmaslik
Quyidagi kabi yozish xavfli:
//attacker.com
O‘rniga quyidagilarni ishlatish kerak:
/api/data
https://example.com/api
3. Dasturda qo‘shimcha domen tekshiruvini joriy qilish
Tashqi domenlarga yuboriladigan barcha so‘rovlar tekshirilishi shart.
Angular’dagi CVE-2025-66035 zaifligi veb-ilovalardagi himoya mexanizmlarini qay darajada ehtiyotkorlik bilan ishlatish kerakligini yana bir bor isbotladi. Oddiy ko‘ringan URL yozishdagi xato ham butun tizim xavfsizligiga putur yetkazishi mumkin.
Shuning uchun:
- ishlab chiquvchilar — kodni diqqat bilan ko‘rib chiqishlari,
- tashkilotlar — yangilanishlarni o‘z vaqtida o‘rnatishlari,
- foydalanuvchilar — notanish saytlarga ishonib bo‘lmasligini tushunishlari zarur.
