ওয়েব সাইট সিকিউরিটি পর্ব ২: Admin Authentication Bypass বাগস্ প্রটেক্ট করুন ।

Najim Uddin

1 second ago

আজকে আমি আপনাদের ওয়েব সাইট কে হ্যাকারদের হাত থেকে সুরক্ষিত রাখার অনেক গুলো পদ্ধতি থেকে একটি পদ্ধতি বলবো । এই পদ্ধতি ব্যবহার করে আপনি পারবেন আপনার সাইটকে দুনিয়ার 5০% হ্যাকারদের হাত থেকে বাঁচাতে !

htaccess কি ?

এটি একটি ফাইল, এই ফাইলটি সার্ভার কিনবা হোস্টিং এর এক্সেস ম্যানেজমেন্ট করে খাকে ! সহজ ভাষায় বললে, আপনি সার্ভার এর কোন ফাইলটি ভিজিটর কে দেখাবেন এবং কোনটা দেখাবেন না, কোনো ডিরেক্টরি এর properties ঠিক করা ইত্যাদি কাজে ব্যবহূত হয় সুতরাং এটি একটি ছোটখাটো ম্যানেজার যা প্রবেশ পথের দারোয়ান এর মত দিক নির্দেশ করে সার্ভার কে ।

কিভাবে htaccess বানাবেন ?

সহজ যে কোনো নোটপ্যাড কিনবা সার্ভার এর এডিটর ব্যবহার করে .httaccess ফরম্যাটে(extension) একটি ফাইল বানান । সার্ভারের যে ডিরক্টরিতে কাজ করতে চান তাতে কিনবা রুটে ফাইলটি রেখে দিন কাজ শেষ ।

পদ্ধতি ১: সঠিক htaccess এবং htpasswd দিয়ে এডমিন প্যানেল সহ সেনসিটিভ ডিরেক্টরি গুলো প্রটেক্ট করুন ।

Htaccess দিয়ে অনেক কাজ করা যায় কিন্তু আমরা সেসবে যাবো না কারন আমাদের লক্ষ্য সাইটের সিকিউরিটি দেওয়া সুতরাং আমরা নিচের কাজ গুলো করবো

সাইটের এডমিন প্যানেলকে Duel Password লাগানো
ADMIN AUTHENTICATION BYPASS PROTECT করা ।

এটা করতে ২টা ফাইল বানাতে হবে :

ধাপ ১ :প্রথমে আপনি যে ফোল্ডার পাস দিতে চান তার রুটে একটি

1.htpasswd এক্সটেনশন এর ফাইল বানান । এখন এই সাইট থেকে

ইউজার নেম পাসওয়ার্ড দিয়ে কোড জেনারেট করে সেই কোড ঐ ফাইলে পেস্ট করুন করে সেভ করুন ।যেমন, আমি site.com/admin/ এটাতে লাগাতে চাই সে ক্ষেত্রে আমার ডিরেক্টরি লোকেশন যদি

1/home/xxxxxxxx/www/admin/ হয় তবে /home/xxxxxxxx/www/admin/ ফোল্ডারে

1 .htpasswd এক্সটেনশন এর ফাইল বানাতে হবে ।

এরপর right click করে edit এ চাপুন :

এরপর নিচের মত কোড লিখে সেভ দিন :

এখানে : এর প্রথম অংশে ইউজার নেম এবং পরের অংশে পাসওয়ার্ড MD5 ফরম্যাটে আছে ।

ধাপ ২: একটি htaccess ফাইল বানান ওয়েব সাইটের রুট ফোল্ডারে এবং নিচের কোড টি কপি করে পেস্ট করুন, এবং

1/home/xxxxxxxx/www/admin/

টা কেটে নিজের ডিরেক্টরি এর এড্রেস দিন, এড্রেস খুঁজে পেতে ফাইলের উপরের দিকে তাকান । ছবির মতস সবুজ অংশের মত :

1234AuthType Basic
AuthName "restricted area"


AuthUserFile /home/xxxxxxxx/www/admin/.htpasswd
require valid-user

এটা করলে কি হবে ?

১. আপনার সাইটে SQL injection bugs থাকলে এবং কোনো হ্যাকার ইনজেক্ট করে পাসওয়ার্ড বের করলেও সাইটের এডমিন প্যানেলে ঢুকতে পারবে না । কারন সে এই সেকেন্ড পাসওয়ার্ড টা কোথাও পাবে না ।তবে htpasswd ফাইলটা রুটে সেভ না দিয়ে অন্য কোনো ডিরেক্টরিতে দিলে ভালো হবে ।

২. Admin Authentication Bypass সমস্যা থেকে মুক্তি পাওয়া যাবে, দুনিয়ার ৩০% সাইটে এই সিকিউরিটি বাগস্ থাকে কিন্তু admin এটা জানতে পারেন না বিধায় হ্যাকাররা বিনা ঝামেলায় কয়েক সেকেন্ডের মধ্যে ঐসব সাইট হ্যাক করা ফেলে ।

পরবর্তি টিউটোরিয়াল এ SQLI Protect করার পদ্ধতি দেওয়ার চেষ্টা করবো । সবাই ভালো থাকবেন । আর একটা অনুরোধ বিডি সাইট যে গুলোতে Admin Authentication Bypass সমস্যা আছে সেই সাইটের প্যানেলে নিজ দ্বায়িত্বে হ্যাকাররা এই ফাইল বানিয়ে রাখবেন এতে অন্তত কিছুটা নিরাপত্ত্বা পাবে দেশের সাইবার স্পেস ।

আমি ফেসবুক এ : Conect With Facebook

অনেক তো লিখলাম এখন উপসংহার করি।

পোষ্টটি ভালো লাগলে আমার চ্যানেলটা সাবস্ক্রাইব করবেন।
আমার চ্যানেল

ধন্যবাদ –