(r1d3x0r) দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে।
Hacking tutorials

(r1d3x0r) দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে।

প্রিয় ট্রিকবিডির ব্যবহারকারী এবং ভিজিটর,
আশা করছি বর্তমান পরিস্থিতির সাথে নিজেকে মানিয়ে নিয়ে মায়াবী পৃথিবীর অপরূপ সুন্দরতা উপভোগ করছেন।
আজকের টিউটোরিয়ালে আমি আপনাদের সাথে যেটা শেয়ার করবো সেই বিষয়টা হলো

“এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসে এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে আর এই এক্সএসএস দূর্বলতা কোনো ওয়েবসাইটে থাকলে কী হয় এই বিষয় আজকের টিউটোরিয়াল আমার”

এই ডিজিটাল যুগে আমরা সকলেই ওয়েবসাইট কী জানি আর অবশ্যই জানারই কথা আপনার, আর আমি ধরেও নিচ্ছি আপনি জানেন কারণ আপনি যদি ওয়েবসাইট কী না জানেন তাহলে অবশ্যই ট্রিকবিডিতেও প্রবেশ করতে পারতেন না। তাহলে আমি বুঝতে পারলাম আপনি ওয়েবসাইট কী জানেন।

ইন্টারনেটে প্রতিদিনিই অগণিত ওয়েবসাইটস তৈরি হচ্ছে, বিভিন্ন স্কুল, কলেজ অথবা যেকোনো শিক্ষা প্রতিষ্ঠানের জন্য। তবে যে শুধু শিক্ষা প্রতিষ্ঠানের জন্য ওয়েবসাইট তৈরি হচ্ছে না এমন না। বিভিন্ন কাজের উদ্দেশ্য নিয়ে ওয়েবসাইট তৈরি করা হয়ে থাকে। কেউ হয়তো টেক ওয়েবসাইট তৈরি করছে, কেউ হয়তো নিউজ ওয়েবসাইট তৈরি করছে আবার কেউ হয়তো সোশ্যাল মিডিয়া ওয়েবসাইট তৈরি করছে।

ওয়েবসাইট বানাতে গেলে একজনকে খুবই ভালো মানের ওয়েব ডিজাইনার এবং ওয়েব ডেভেলপার হওয়ার প্রয়োজন পড়ে। যদি দক্ষ না হয় ওয়েব ডিজাইন বা ওয়েব ডেভেলপিং এ তাহলে কিন্তু সে অনলাইন মার্কেট প্লেসেও কাজ পাই না সহজে। তবে যেহেতু প্রতিদিনই প্রযুক্তির উন্নতি হচ্ছে ততোই জানো সব কিছু সহজ হয়ে যাচ্ছে আমাদের সামনে। এমন অনেক মাধ্যম আছে ওই গুলো ব্যবহার করলে যে ওয়েবসাইট বানাচ্ছে তার কোডিং দক্ষতা না থাকলেও সে একটা উন্নতমানের ওয়েবসাইট বানাতে সক্ষম।

বর্তমান সময়ের খুবই জনপ্রিয় সিএমএস অর্থাৎ কনটেন্ট ম্যানেজমেন্ট সিস্টেম ওয়ার্ডপ্রেস। এটা জনপ্রিয় হওয়ার কারণ হলো এইখানে কোডিং দক্ষতা ছাড়াই যে কেউ একটা পেশাগত ওয়েবসাইট বানিয়ে ফেলতে পারে। আর আমরা চাইও এমন যে এতো কষ্ট করে রাত এবং দিনকে এক করে এতো কোডিং করে একটা ওয়েবসাইট না বানিয়ে এমন সিএমএস ব্যবহার করতে পারলেই হলো। এতে করে আমাদের ওয়েবসাইট তো হলো কিন্তু আমরা জানিও না যে এটা আসলে নিরাপদ কী অর্থাৎ আমাদের ওয়েবসাইটকে সিকিউরিটি প্রদান করছে কী আদৌ।

হ্যাকিং জগৎতের খুবই জনপ্রিয় একটা আক্রমণ হচ্ছে এক্সএসএস এর মানে হচ্ছে ক্রোস সাইট স্ক্রিপ্টিং। একজন নবীন হ্যাকার মূলত এটা অনেক বেশীই ব্যবহার করে, আবার পুরাতন হ্যাকারগণও করে। মূল কথা হলো যখন যে আক্রমণের প্রয়োজন হয় তখন হ্যাকার টার্গেট ওয়েবসাইটে সেই আক্রমণই সক্রিয় করে। আমরা জানি হ্যাকার মূলত তিন প্রকারের হয়ে থাকে তার মধ্যে যে হ্যাকার গুলোকে কালো টুপি দ্বারা চিহ্নিত করা হয় তারা একটা ওয়েবসাইটের দূর্বলতা পেলেই সেই ওয়েবসাইটের এডমিনিস্ট্রেটরের পারমিশন ছাড়াই ওই ওয়েবসাইট হ্যাক করে।

হ্যাক করার পর ওই ওয়েবসাইটের বিভিন্ন গুরুত্বপূর্ণ ফাইলস নষ্ট করে দিয়ে থাকে এবং ওয়েবসাইটের গুরুত্বপূর্ণ ডাটা গুলো নিজের কাছে সংরক্ষণ করে। গুরুত্বপূর্ণ ডাটার ভেতর যদি এমন কোনো ডাটা থাকে যেটা দিয়ে সাইট এডমিনিস্ট্রেটরকে ক্ষতি করা যায় তখন ওই ডাটা নিয়ে হ্যাকার হুমকী দিয়ে অর্থ আয় করে থাকে। আবার অনেক হ্যাকার ওয়েবসাইট হ্যাক করে নিজের নাম অথবা টিমের নাম জনপ্রিয় করার প্রচেষ্টা চালাই, আর এইসব অসৎ কাজ গুলো করে থাকে কালো টুপির হ্যাকার।

বর্তমান জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসের সর্বশেষ ভার্সন যেটি সেটা হলো ওয়ার্ডপ্রেস ৫.৫ এবং এই ভার্সনে এক্সএসএস দূর্বলতা পাওয়া গিয়েছে। আর এই এক্সএসএস দূর্বলতার জন্ম নেয় অদক্ষ ডেভেলপার দিয়ে কোনো থীম বা কোনো ওয়েব অ্যাপলিকেশন ডেভেলপ করলে। সার্চ ইঞ্জিন ব্যবহার করলে দেখা যায় মাত্রাধিক ওয়েবসাইটে কিন্তু এই ওয়ার্ডপ্রেস সিএমএস ব্যবহার করা হয়েছে।

এইসকল ওয়েবসাইটে যদি কোনো কালো টুপির হ্যাকার এক্সএসএস আক্রমণ সক্রিয় করে এবং মূল ওয়েবসাইটের ব্যাকগ্রাউন্ডে যদি আরও কোনো ওয়েব পেজ রান করিয়ে রাখে তাহলে ওই ওয়েবসাইটের ব্যবহারকারী এবং ভিজিটর দারুন ভাবে ক্ষতিগ্রস্ত হবে। আবার মনে করুন যদি কোনো এক্সএসএস দূর্বল ওয়েবসাইটে কোনো কালো টুপির হ্যাকার একটা ওয়েবপেজ রান করাই যেখানে আপনার ক্রেডিট কার্ডের তথ্য চাচ্ছে আর ওই এক্সএসএস দূর্বল ওয়েবসাইট যদি কোনো কমার্শিয়াল ওয়েবসাইট হয় তাহলে তো ব্যবহারকারী বা ভিজিটরের বুঝারও ক্ষমতা নাই যে এটা হ্যাকারের তৈরি একটা ফাঁদ।

বর্তমান করোনা ভাইরাসের কারণে পৃথিবীর সকল দেশ লক ডাউন করা হয়েছে, আর মনে করুন আপনার খুব চকলেট পছন্দ আর এই দিকে আপনার চকলেটও শেষ তখন আপনি সার্চ ইঞ্জিন ব্যবহার করে একটা ওয়েবসাইটে প্রবেশ করলেন যে ওয়েবসাইট চকলেট সেল করে এবং আপনার বাসা পর্যন্ত পৌঁছে দিবে আপনার চকলেট। আপনি যখন চকলেট অর্ডার করলেন তখন আপনাকে হ্যাকারের তৈরি করা পেমেন্ট পেজে রিডাইরেক্ট করে দেওয়া হলো আর আপনি আপনার ক্রেডিট কার্ডের তথ্য দিয়ে চকলেট অর্ডার করলেন; এই দিকে আপনি কিছুই বুঝতে পারলেন না যে আপনার ক্রেডিট কার্ড হ্যাক করে নিলো হ্যাকার।

স্ক্রিনশট দেখুন, আমি আমার সার্ভারে ওয়ার্ডপ্রেসের সর্বশেষ ভার্সন যেটি সেটা হলো ওয়ার্ডপ্রেস ৫.৫ কে ইন্সটল করে নিয়েছি।

নিচের স্ক্রিনশট দেখুন এটা আমার ওয়েবসাইট, আর যারা ওয়ার্ডপ্রেস সিএমএস ব্যবহার করেন তারা জানেন যে ওয়ার্ডপ্রেস ইন্সটল করার পর Hello World নামক একটা অটোমেটিক পোস্ট পাবলিশ করা হয়; আর আমি এখন এই পোস্টটি ওপেন করছি।

এই কনটেন্টির আমি কমেন্ট বক্সে এখন একটি জাভাস্ক্রিপ্টের কোড মন্তব্য করছি, দেখুন কাজ করে কী।

স্ক্রিনশট দেখুন আমার কোডটি এই ওয়েবসাইটে পারফেক্ট ভাবে কাজ করছে।


আশা করি আমি আপনাদের সুন্দর এবং সহজ ভাবে বুঝাতে সক্ষম হয়েছি।

ভালো থাকুন সুস্থ থাকুন প্রিয় মানুষকে ভালো রাখুন সবসময় পজিটিভ থাকুন সকল সময় মোটিভেট থাকুন; ধন্যবাদ।

14 thoughts on "(r1d3x0r) দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে।"

  1. Syntax Ghost Contributor says:
    August 22, 2020 at 3:15 pm
    htmlentities($input, ENT_QUOTES, ‘UTF-8’);
    1. r1d3x0r Author Post Creator says:
      August 22, 2020 at 5:56 pm
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
  2. Malaylayek1 Contributor says:
    August 22, 2020 at 5:18 pm
    alert(“Hello”);
    1. r1d3x0r Author Post Creator says:
      August 22, 2020 at 5:57 pm
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
      আপনার কোডটি ট্রিকবিডিতে রান হবে না কারণ ট্রিকবিডির কমেন্ট ফর্ম Validation করা।
  3. Malaylayek1 Contributor says:
    August 22, 2020 at 5:23 pm
    আরে এটা তো input গুলোতে str_replace() function রান করালেই হবে। যেমন ” এর জন্য ‘&gt’ ব্যবহার করতে হবে।
    1. r1d3x0r Author Post Creator says:
      August 22, 2020 at 5:58 pm
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
  4. Malaylayek1 Contributor says:
    August 22, 2020 at 5:27 pm
    আরে এই এটাক এড়াতে তো input গুলোতে str_replace() function রান করালেই হবে। যেমন &lt এর জন্য ‘&lt’ আর &gt এর জন্য ‘&gt’ ব্যবহার করতে হবে। তাহলেই XSS এটাক অনেকটাই এড়ানো যাবে।
    1. r1d3x0r Author Post Creator says:
      August 22, 2020 at 5:59 pm
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
      অনেকটাই এড়ানো যাবে বিষয়টা না ভেবে যদি ফর্মকে Validation করে নেওয়া যায় তাহলে আর কোনো সমস্যাই নাই।
  5. Malaylayek1 Contributor says:
    August 22, 2020 at 5:29 pm
    tricked তে str_replace() ON করা আছে। তাই greater than আর less than চিন্হ গুলো comment করা যাচ্ছে না।
    1. r1d3x0r Author Post Creator says:
      August 22, 2020 at 5:59 pm
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
  6. MD Shakib Hasan Contributor says:
    August 23, 2020 at 7:10 am
    Good
    1. r1d3x0r Author Post Creator says:
      August 23, 2020 at 7:29 am
      প্রিয়,
      আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
  7. abrno34 Author says:
    August 28, 2022 at 1:07 am
    Good
  8. abrno34 Author says:
    August 28, 2022 at 1:07 am
    awesome

Leave a Reply