XSS এর সম্পূর্ণ টিউটোরিয়াল (নতুনদের জন্য)

XSS কি ?
XSS হ্যাকিং সম্পর্কে জানতে
হলে প্রথমেই জানতে হবে XSS
জিনিসটা কি? Cross site
Scripting এর সংক্ষিপ্তরূপই
হচ্ছে XSS এটাকে আবার CSS
(Cascading Style sheet) ও বলে
থাকে। যার যেভাবে ইচ্ছা সে
ভাবে বলে। এটা Web
Application Vulnerability এর
সবচেয়ে জনপ্রিয় গুলোর
একটি। এই vulnerability একজন
হ্যাকারকে একটি সাইটে client
side scripts (বিশেষ কিছু
Javascript) ইনসার্ট করার
অনুমতি প্রদান করেন। এই
vulnerabilityদিয়ে একজন
হ্যাকার ভিকটিমের সাইটে
malicious codes, malware
attack, phishing ইত্যাদি
inject করাতে পারে।
XSS Vulnerability and
Injection
ধাপ ১: Vulnerable ওয়েব সাইট
খুঁজে বের করা
একজন হ্যাকার প্রথমে
Vulnerable সাইট খুজে বের
করেন। এজন্য সে প্রথমে
Google এ যায়। তারপর সে
Google Dorks ব্যবহার করে
Vulnerable সাইট খুজে বের
করে। তাহলে আপনি তার সাথে
সার্চ দিন নিচের
sql Injection দিয়ে।
“search?q=”
তাহলে আপনি অনেকগুলো
Vulnerable সাইট খুজে পাবেন।
এবার একটি সাইটে প্রবেশ
করুন।
ধাপ ২: Vulnerability পরীক্ষা
করা
এখন আমরা যে সাইটে প্রবেশ
করেছি, সেই সাইটের
Vulnerability পরীক্ষা করে
দেখব। এজন্য আপনাকে প্রথমে
উক্ত সাইটের এবটি পোষ্ট
বা parameter খুঁজে বের করতে
হবে। বুঝেছেন? না বুঝলে একটু
অপেক্ষা করেন, বলছি। মানে
আপনি এমন একটি পোষ্ট খুঁজে
বের করবেন যা উক্ত সাইটের
সার্ভার পাঠাবে। যেমনঃ
search query, username,
password.
Vulnerability পরীক্ষা করা
জন্য দুটি পদ্ধতি আছে।
পদ্ধতি ১: প্রথম পদ্ধতি হল
সাইটের মূল সার্চ বক্সে
injection করা।
একজন হ্যাকার সাধারণত
সাইটের মূল সার্চ বক্সে একটি
malcious script লিখে, তারপর
সার্চ বাটনে ক্লিক করে। সার্চ
দেয়ার সাথে সাথে malcious
script টি ওয়েবসাইটে কাজ
করা শুরু করে দেয়।
পদ্ধতি ২: সাইটের URL এ
injection করা।

এটি কোন সার্চ বক্সে কাজ
করে না। এটি শুধু মাত্র
সাইটের URL এ কাজ করে
থাকে। যেমনঃ-
htp://
vulnerablewebsite/
search?
q=malicious_script_
goes_here
পরীক্ষা করার সুবিধার্থে
input fields হিসেবে নিচের
কোডটি দিন।
alert
(‘hi’);
এবার উপরের কোডটি দিয়ে
আপনি এবার পরীক্ষা করে
দেখুন। যেমনঃ-
প্রথম পদ্ধতিঃ আপনি উপরের
কোডটি আপনার ভিকটিমের
সাইটের মূল সার্চ বক্সে লিখে
সার্চ দেন।
দ্বিতীয় পদ্ধতিঃ আপনি
ভিকটিমের সাইটের লিংকে
লাগিয়ে এন্টার দিন। যেমনঃ-
http://
vulnerablewebsite/
search?
q=alert
(‘TunerPage’);
এবার যদি ‘TunerPage’ লিখা
একটি পপ আপ বক্স আসে। তাহলে
বুঝবেন যে এই সাইটটি XSS এর
জন্য vulnerable.
ধাপ ৩: Malicious Scripts
দেয়া
Vulnerability পরীক্ষা করার
পর একজন হ্যাকারের পরবর্তী
কাজ হল, ভিকটিমের
সাইটে malicious scripts
ইঞ্জেকট করানো। এটি উক্তি
সাইটের cookies চুরি করা এবং
malware attack করতে
সহযোগিতা করবে।
এখন মনে করুন হ্যাকারের
সাইটে cookie stealing script
টি আছে। তাহলে তার
malicious script url হবে
http://attackerSite/
malicious.js
এখন হ্যাকার তার malcious
script টি vulnerable site এ
inject করতে পারবেন। তাহলে
তার URL হবে

এরপর যখনই উক্ত সাইটের
ভিজিটর উক্ত সাইটে ভিজিট
করবে, তখনি malcious script
টি কাজ শুরু করে দিবে এবং কুকি
চুরি করা শুরু করে দিবে।
সাধারণত XSS এর ক্ষমতা
অনুসারে persisting
capability হয় দুই ধরনের।
একটা হল Persistent আরেকটা
হল Non-Persistent
Persistent XSS:
এটা হল সবচেয়ে বেশি ঝুঁকিপূর্ণ
XSS vulnerability. এটা
সরাসরি সার্ভার থেকেই ডাটা
সমূহ সংরক্ষণ করে থাকে। তাই
আপনি যখনই উক্ত সাইটে
malicious script injection
দিবেন, সাথে সাথে এটি ওয়েব
এ্যাপ্লিকেশানে স্থায়ীভাবে

সংরক্ষণ হয়ে যাবে। এটি
অন্যন্যা সকল ভিজিটরকে এটা
দেখিয়ে দিবে। যদি আপনি
আপনার ভিকটিমের ওয়েব
সাইটে malicious script
injection করবেন, তাহলে এটি
উক্ত সাইটে আসা ভিজিটরদেরও
আক্রান্ত করে। যেমনঃ- কিছু
কিছু সাইট আছে, যারা তাদের
সাইটের ব্যবহারকারিদের
ট্যাক করার জন্য search query
গুলো সংরক্ষণ করে রাখে। যার
ফলাফল XSS এর permanent
storage. 🙂
Non-Persistent XSS:
একে অনেকেই Reflected XSS
বলে থাকে। এজন্যই malicious
script এখানে টেম্পরারী। ফলে
আপনার দেয়া স্ক্রীপ্টটি
সাধারণ ভিজিটররা দেখতে
পারবে না। তবে হ্যাঁ, যারা
হ্যাকার তারা তাদের দেয়া
স্ক্রীপ্টটি ভিজিটরদের
দেখানোর জন্য injection
টিপস ব্যবহার করে থাকে।
মজার বিষয় হল, যারা উক্ত
সাইটের যারা নিয়মিত
ভিজিটর তারা কিন্তু মনে করে
যে এটা সাইটের নিজের লিংক।
ফলে তারা সেখানে যায় আর
তারও উক্ত সাইটের
হ্যাকিংয়ের শিকার হয়।
যেমনঃ- আপনি কিছু কিছু
সাইটে যে কোন জিনিস সার্চ
দিলে দেখবেন আপনাদের
আপনার দেয়া সার্চ স্ট্রিংটি
আপনাকে পুনরায় দেখাচ্ছে।
এটার কারণেই malicious code
temporarily .
একজন হ্যাকার এই
Vulnerability দিয়ে কি করে ?
পরিচয়পত্র ও বিভিন্ন
গোপনীয় তথ্য চুরি
করা।
ওয়েব সাই্টের
Bypassing restriction
Session Hijacking
Malware Attack
Website Defacement
Dos attacks
আশা করি সবাই XSS এর বিষয়ে
মোটামুটি ভাবে বুঝতে
পেরেছেন। আরও কিছু
টিউটোরিয়াল সামনে পাবেন।
তখন আরও পরিষ্কার ভাবে
শিখতে পারবেন XSS এর
সম্পর্কে।
সবাইকে অনেক অনেক ধন্যবাদ,
ভাল থাকুন ও ভাল রাখুন পাশের
মানুষটিকে। আল্লাহ হাফেজ…….