সিকিউরিটি ক্লাসঃ XSS অ্যাটাক | XSS এর ক্ষতিকর দিকসমূহ এবং বের করার উপায়

13
403
xss সিকিউরিটি ক্লাসঃ XSS অ্যাটাক | XSS এর ক্ষতিকর দিকসমূহ এবং বের করার উপায়
xss

বাংলাদেশ সাইবার আর্মির পক্ষ থেকে সবাইকে স্বাগতম জানাচ্ছি আমি শাহারিয়ার রহমান। সাইবার আর্মি থেকে আমরা সিদ্ধান্ত নিয়েছি যে আমরা বাংলাদেশের সাইবার সযাবার লক্ষে কাজ করবো । আর তারই ধারাবাহিকতাই আমাদের এই ছোট্ট ধারাবাহিক টিউটোরিয়াল। এ পর্বে আমরা জানব xss  সম্পর্কে।গত পর্বে বলেছিলাম আগামি পর্বে XSS এর মাধ্যমে কি কি ক্ষতি হতে পারে এবং কিভাবে XSS VULNERABILITY  খুজে পাওয়া যায় তা নিয়ে আলোচনা করব।

তো চলুন শুরু করা যাক ……

Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

প্রথমে আসি XSS অ্যাটাকের মাধ্যমে একটি সাইটের কি কি ক্ষতি হতে পারেঃ
১।COOKIE  চুরি

২।সাইট রিডিরেক্টিং

৩। সাইট ডীফেসিং

১।COOKIE  চুরিঃ এ ক্ষেত্রে একজন অ্যাটাকের ত্রুটি পূর্ণ সাইটে একটা malicious  কোড ইঞ্জেকট করে। এর ফলে কোন ইউজার যদি সেই পেজ ভিজিট করে তাহলে অ্যাটাকার সেই ইউজারের COOKIE পেয়ে যায়।এখন কথা হলঃ-
COOKIE কি?

Cookies are usually small text files, given ID tags that are stored on your computer’s browser directory or program data subfolders. Cookies are created when you use your browser to visit a website that uses cookies to keep track of your movements within the site, help you resume where you left off, remember your registered login, theme selection, preferences, and other customization functions.
অর্থাৎ, একজন অ্যাটাকার যখন কারো কুকি পাবে তখন সে সেই কুকি ব্যবহার করে সেই ইউজার-এর ডাটা দেখতে পাবে। আর সেই কুকি যদি হয় অ্যাডমিনের তাহলে তো কোন কথাই নেই।

২।সাইট রিডিরেক্টিংঃ এটিও অনেকটা আগের মতই। এক্ষেত্রে অ্যাটাকার একি ভাবে কোড ইঞ্জেক্ট করে এবং এ ক্ষেত্রে যা হয় তাহলো সেই পেজ কেউ ভিজিট করার সময় সেই কোডটি EXECUTE  হয়ে আপনার সাইট কে অন্য সাইটে রিডিরেক্ট করে। হতে পারে যে সাইট-এ রিডিরেক্ট করবে সেটি একটা মেলিসিয়াস সাইট।

৩। সাইট ডীফেসিংঃ এটি সম্পর্কে বলার কিছু নাই। এক্ষেত্রে অ্যাটাকার vulnerable পয়েন্টে ইঞ্জেক্ট করে সাইট ডিফেস করে।

 

 

এবার আসি XSS BUG  কিভাবে খুজে পাওয়া যায়ঃ

XSS BUG অনেক কমন একটি ত্রুটি। তাই এটি খুব সহজেই খুজে পাওয়া যায় এবং এক্সপ্লয়েট করা যায়।

এর প্রধান কারন গুলার মধ্যে ২ টা হলঃ

#অনেকে এই ত্রুটিকে সম্পূর্ণরুপে বোঝেন না বা বুঝলেও ফিক্স করার কথা ভুলে যান।

#আবার অনেকে মনে করেন “XSS IS NOT A BIG DEAL”

 

যাই হোক, এই ত্রুটি খুজে পেতে প্রথমত  SERVER GIVEN ERROR MESSAGE  গুলো খতিয়ে দেখা দরকার।অনেক সময় দেখা যায়, যে সারভারে যে ফাইল আপনি খুজছেন সেতা সেখানে নেই এবং সার্ভার হ-জ-ব-র-ল মার্কা একটি পেজ শো করে।

এটা অনেক ইন্টেরেস্টিং। চলুন দেখিঃ

মনে করি একটা সাইট এর সার্চ বক্স। সেখানে কিছু সার্চ করলে URL তা হয় এই রকমঃ
http://127.0.0.1:8008/1827815466/ebook

এইবার আমরা একটু পরীক্ষা করে দেখি কোন ভুল্ আসে কিনা?
আমরা একটা সিম্পল কোড সার্চ করে দেখিঃ

আমাদের কোডঃ <script>alert('Bangladesh Cyber Army')</script>
xss সিকিউরিটি ক্লাসঃ XSS অ্যাটাক | XSS এর ক্ষতিকর দিকসমূহ এবং বের করার উপায়
Bangladesh Cyber Army

এতে আমরা দেখতে পাচ্ছি আমাদের URL টা হল:
http://127.0.0.1:8008/1827815466/%3Cscript%3Ealert('Bangladesh%20Cyber%20Army')%3C/script%3E  
আর এর ফলে আমরা একটি পপ আপ উইন্ডো দেখতে পাচ্ছি। তার মানে আমরা এখানে যেকোনো কোড ইঞ্জেক্ট করলে ইঞ্জেক্ট হবে।

পর্ব টা অনেক বড় হয়ে গেল। কষ্ট করে পড়ার জন্য ধন্যবাদ।
আর আমি একটু কনফিউসড। আমি এই পর্ব নিয়ে আর আলোচনা করব নাকি আগামি পর্বে কিভাবে এই ত্রুটি প্রতিরধ করতে হয় টা লেখে শেষ করে দিব বুঝতেছি না।আপনারা কমেন্টে জানিয়ে দিলে ভাল হয়

আমাদের সাথেযোগদিনঃ http://www.facebook.com/groups/bdcyberarmy/

 

Facebook fanpage : https://www.facebook.com/BDCyberArmy

 

কৃতজ্ঞতায়ঃ শাহী মীর্জা, SCRIPT KIDDE, মারুফ আলম ,ইস্তিয়াক আহমেদ, রহিত, অসামাজিক সাকিব, ডেজার্ট রোজ, হেলার বিডি …… যাদের ছাড়া এই পোস্টটা লেখা সম্ভব হতো না ।

টিউনারপেজের নতুন টিউন আপনাকে ইমেইল করব?
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting
Unlimited Web Hosting

13 মন্তব্য

  1. অনেক কিছু জানতে পারলাম আপনার কাচথেকে , ধন্যবাদ।

  2. আমার মনে হয় -আপনি চালিয়ে জান,ডিটেলস থাকলে নতুনরা বুঝুক আর না বুঝুক অন্তত ধারনা পাবে। আর পর্ব গুলাকে টিউটোরিয়াল আকার দিলে ভালো হয় মানে পোস্ট গুলার লিঙ্কগুলা উল্লেখ করুন।

  3. সুন্দর কিছু ধারনা পেলাম । অনেক ধন্যবাদ আপনাকে ।

  4. chalai jan vai. . . Akta kotha, , chor jana churir poddoti, so aga sikan. Nxt tym tahola xss protection easily bujbo.

  5. ভায়া,,,আমি যদি আরেকটু বেশি বুঝতাম আমার আফসোস.. :(

  6. jai hok … আমি একটু কনফিউসড। আমি এই পর্ব নিয়ে আর আলোচনা করব নাকি আগামি পর্বে কিভাবে এই ত্রুটি প্রতিরধ করতে হয় টা লেখে শেষ করে দিব বুঝতেছি না।আপনারা কমেন্টে জানিয়ে দিলে ভাল হয়

একটি উত্তর ত্যাগ

Please enter your comment!
Please enter your name here

17 − three =