সিকিউরিটি ক্লাসঃ ইনজেকশন অ্যাটাক পর্ব : ৩

9
420

 

security class

গত ২ পর্ব থেকে আমরা জেনেছি যে ইঞ্জেকশান অ্যাটাক একটি মারাত্মক অ্যাটাক । প্রশ্ন হল আমরা কিভাবে এটি প্রতিহত করতে পারি ??? আপনি যখনই ডাটাবেস তৈরি করবেন, তখন অবশ্যই খেয়াল রাখবেন যে আপনি PARAMETERIZED QUERIES ব্যবহার করেছেন । মনে রাখবেন “PARAMETERIZED QUERIES are not vulnerable to sql injection attack.”

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

তাহলে চলুন দ্রুত কিছু এক্সাম্পল দেখে নেয় :

প্রথমে আসি জাভা তে:

string query = “SELECT * FROM
users WHERE user_name= ? “ ;

PreparedStatement Pstmt =
connection. PreparedStatement( query);

Pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery ( );

JAVA DEFENSE সিকিউরিটি ক্লাসঃ ইনজেকশন অ্যাটাক পর্ব : ৩
JAVA DEFENSE

 

আমরা এই জাভা কোডে একটি “?” মার্ক ব্যবহার করেছি । এবং এর পরে আমরা ব্যবহার করেছি PreparedStatement । যার কারণে ইউজার ডাটা সরাসরি “1” স্থানে বসবে।

এর পর আসি .NET  এ।

কার্যত এখানেও একই ঘতনা ঘটবে । আমরএ একটি token  ব্যবহার করব এবং যাতে safely  ইউজারডাটা insert করা যায়।

কোড তা হবে এ রকম ঃ

.NET DEFENSE  সিকিউরিটি ক্লাসঃ ইনজেকশন অ্যাটাক পর্ব : ৩
.NET DEFENSE

 

এ ত গেল কেবল জাভা এর ডটনেট । কিন্তু অন্য গুলোর কি হবে??? xml,ldap,comand line এর মত  যে গুলো PARAMETERIZED Statemet  সাপোর্ট করে না ???

এর জন্য আপনাকে যা করতে হবে তা হল আপনাকে ইউজার ডাটা encode করতে হবে
প্রত্যেকটি প্রোগ্রামের জন্য  specific encoder প্রয়োজন পরবে। এই  encoder  গুলো আপনাকে এই ধরনের আক্রমণ থেকে সুরক্ষিত করবে । এই encoder গুলো আপনি ইন্টারনেটে খোঁজ করলেই পাবেন। এই  encoder  গুলো untrusted uder data কে  encode করবে এবং আপনাকে সুরক্ষিত করবে ।

সবথেকে জনপ্রিয় একটি একটা ফ্রী encoder  হল ঃ ESAPI

আমরা চেষ্টা করেছি খুব সংক্ষেপে ইঞ্জেকশান অ্যাটাক সম্পর্কে ধারণা দিতে । আশা করি আপনারা একটু হলেও বুঝতে পেরেছেন । কিন্তু সিকিউর কোড করতে হলে আপনাকে সব সময় আপডেটেড থাকতে হবে। এর জন্য অবশ্যই গুগল মামা রয়েছে । তাছাড়া উইকিপিডীয়া  শেখার সব থেকে ভাল মাধ্যম ।
আজ এ পর্যন্তই , ভাল থাকবেন ।
আমাদের সাথে যোগ দিন  http://www.facebook.com/groups/bdcyberarmy/

Facebook fanpage : https://www.facebook.com/BDCyberArmy

কৃতজ্ঞতায় ঃ শাহী মীর্জা, SCRIPT KIDDE, মারুফ আলম ,ইস্তিয়াক আহমেদ, রহিত, অসামাজিক সাকিব, ডেজার্ট রোজ, হেলার বিডি …… যাদের ছাড়া এই পোস্টটা লেখা সম্ভব হতো না ।

 

টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

9 মন্তব্য

  1. আপনারা হ্যাকিং শিখানোর জন্য ওয়েবসাইট খোলেন না কেন? যেখানে আমরা হ্যাকিং, সিকিউরিটি সবই শিখতে পারব। একমাত্র আপনারাই পারেন ভাল হ্যাকার গড়ে তুলতে।

একটি উত্তর ত্যাগ

Please enter your comment!
Please enter your name here

3 × 3 =