প্রিয় ট্রিকবিডির ব্যবহারকারী এবং ভিজিটর,
আশা করছি বর্তমান পরিস্থিতির সাথে নিজেকে মানিয়ে নিয়ে মায়াবী পৃথিবীর অপরূপ সুন্দরতা উপভোগ করছেন।
আজকের টিউটোরিয়ালে আমি আপনাদের সাথে যেটা শেয়ার করবো সেই বিষয়টা হলো
“এক্সএসএস দূর্বলতার সুযোগ নিয়ে কুকি হাইজ্যাক করে কীভাবে একটা ওয়েবসাইটকে হ্যাক করবেন এই বিষয় আজকের টিউটোরিয়াল আমার”
এক্সএসএসের মানে হলো ক্রোস সাইট স্ক্রিপ্টিং, কোনো কোড শুরু করলে তার শেষ সীমানা নির্দেশ করতে হয়। যদি কোনো অদক্ষ ডেভেলপার কোনো ওয়েব অ্যাপলিকেশনে কোডকে সমাপ্ত না করে তাহলে এক্সএসএস দূর্বলতার জন্ম হয় আমি এক্সএসএস নিয়ে বিস্তারিত বলেছি দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে টিউটোরিয়ালে; যারা আমার টিউটোরিয়ালটি দেখেননি তারা অবশ্যই দেখে নিবেন এতে করে আপনারা এক্সএসএসের বিষয় বিস্তারিত আরও ভালো করে এবং পরিষ্কার ভাবে বুঝতে সক্ষম হবেন।
আমি আমার সার্ভারে একটা ওয়েব অ্যাপলিকেশনকে ইন্সটল করে নিয়েছি এবং যেখানে এক্সএসএস দূর্বলতা রয়েছে আর মূলত এই ওয়েব অ্যাপলিকেশন বানানোর কারণ হলো জানো এইখানে আক্রমণ গুলো পরিক্ষা করা যায়। আমি আমার সার্ভারে থাকা ওয়েব অ্যাপলিকেশনে যে এক্সএসএস দূর্বলতা আছে ওটার সুযোগ নিয়ে আমি কুকি হাইজ্যাক করবো এডমিনিস্ট্রেটর একাউন্টের এবং ওয়েবসাইটটি হ্যাক করে আপনাদের দেখাবো।
কুকি হলো আপনার লগইন আইডেন্টিটি হিসাবে কাজ করে যা খুবই গুরুত্বপূর্ণ ভুমিকা পালন করে থাকে। বিভিন্ন ওয়েবসাইটে হয়তো দেখে থাকবেন প্রবেশ করলে বলে যে এই ওয়েবসাইট আপনার ওয়েব ব্রাউজারে কুকি লোড করে দিবে যাতে করে আপনি এই ওয়েবসাইট আরও সুন্দর ভাবে এবং তাড়াতাড়ি ব্যবহার করতে পারেন।
আপনার ওয়েব ব্রাউজারে যখন কোনো ওয়েবসাইটের কুকি জমা করা থাকবে তখন ওই ওয়েবসাইটে গেলে আপনি আরও ফাস্ট ভিজিট করতে পারবেন; ওয়েবসাইটের এডমিনিস্ট্রেটর এই কুকি দিয়ে এটাও জানতে পারে আপনার প্রয়োজন ওই ওয়েবসাইটে মনে করুন আপনি একটা ল্যাপটপ কিনবেন আপনি ওই ওয়েবসাইটে ল্যাপটপ খুঁজলেন কিছু সময় পর আবারও ওই ওয়েবসাইটে গেলে আপনি ল্যাপটপ রিলেটেড আরও কনটেন্ট দেখতে পাবেন।
এবার আসি এটার ক্ষতিকর দিক নিয়ে। একটা ওয়েবসাইটে আপনি যখন লগইন করেন তখন ওই ওয়েবসাইট একটা কুকি জেনারেট করে আপনার ওয়েব ব্রাউজারে প্রদান করে। এই কুকি যদি কোনো হ্যাকার হ্যাক করতে পারে তাহলে আপনার একাউন্টের ইউজার নাম অথবা ইমেইল এবং পাসওয়ার্ড ছাড়াই আপনার একাউন্ট অ্যাক্সেস করতে পারবে। আর কুকিটা যদি এডমিনিস্ট্রেটর একাউন্টের হয়ে থাকে তাহলে তো ওই ওয়েবসাইট ইনস্ট্যান্ট হ্যাক।
স্ক্রিনশট দেখুন, আমি এই এক্সএসএস দূর্বল ওয়েবসাইটে একটা জাভাস্ক্রিপ্ট কোড সাবমিট করবো।
কোডটিও আমি আপনাদের দেখাচ্ছি।
এখন দেখুন আমার বর্তমান লগইন কুকিটি ডিসপ্লে করছে; আমি নিরাপত্তার কথা বিবেচনা করে আমার লগইন কুকিটি লুকিয়ে দিলাম।
এখন আমি পিএইচপির একটা ফাইল তৈরি করে নিচ্ছি আমার সার্ভারে এবং এটার নাম দিচ্ছি hackprogrambyr1d3x0r.php
এখন আমি ওই ইনপুট করার জায়গাতে চলে যাচ্ছি এবং আমি একটা জাভাস্ক্রিপ্ট কোডটি রান করবো, সেটাও আমি দেখাচ্ছি।
এখন আমি আমার কোড এডিটর থেকে কোডটি পেস্ট করে সাবমিট বাটনে ক্লিক করছি।
এখন দেখুন যেমনটা আমি আপনাদের বলেছিলাম যে কুকিকে স্টোর অথবা হাইজ্যাক করে ফাইলটি ক্লোজ হয়ে যাক এবং তারপর Thank you for your support লেখাটি ডিসপ্লে করুক আর ঠিক তেমনটাই করছে।
এটাও দেখুন এতোক্ষণ কিন্তু আমার সার্ভারে cookiehackbyr1d3x0r.txt নামে কোনো টেক্সট ফাইল ছিলো না, কিন্তু এখন অটোমেটিক ক্রিয়েট হয়ে গিয়েছে।
এখন আমি যদি cookiehackbyr1d3x0r.txt টেক্সট ফাইলটি ওপেন করি তাহলে দেখবো কুকিটি হাইজ্যাক হয়ে আমার সার্ভারে চলে এসেছে।
এখন দেখে নিন আমি কিন্তু টার্গেট ওয়েবসাইটের এডমিনিস্ট্রেটর একাউন্টের কুকিটা হাইজ্যাক করেছি।
এতোক্ষণ আমি এই কুকি হাইজ্যাক করলাম মজিলা ফাইয়ারফক্স থেকে এখন আমি ক্রোম ব্রাউজারে চলে যাবো এবং ওই ওয়েবসাইটি ওপেন করছি, দেখুন এইখানে আমার কাছে ওই ওয়েবসাইটে লগইন করা নেয় এবং কোনো এডমিনিস্ট্রেটর একাউন্টের ইমেইল অথবা ইউজার নেম আর পাসওয়ার্ড আমাদের কাছে নেয় তবে হ্যাঁ আমরা এডমিনিস্ট্রেটর একাউন্টের কুকি হাইজ্যাক করেছি আমাদের কাছে কুকি আছে।
এখন আমরা কুকিটা ইনজেক্ট করার জন্য ইন্সপেক্টে ক্লিক করবো।
এখন অ্যাপলিকেশন অপশনে চলে যাবো।
এখন আমি কুকিটি পেস্ট করে দিলাম এবং নিরাপত্তার জন্য আমি কুকিটি লুকিয়ে রাখলাম।
এখন আমি ইউআরএল থেকে login.php কেটে দিয়ে ওয়েবসাইটি রিফ্রেশ করলাম, দেখুন আমি লগইন হয়ে গেছি আমার টার্গেট ওয়েবসাইটে।
আর এটাও দেখে নিন আমি কিন্তু, এখন এডমিনিস্ট্রেটর একাউন্টে লগইন হয়ে গেছি। আমি চাইলে এখন এই ওয়েবসাইটের যা ইচ্ছা তাই করতে পারী শেল আপলোড অথবা ডিফেস বা কোনো ডাটা মুছে ফেলা বা বদলিয়ে দেওয়া ইত্যাদি।
এক্সএসএস এমনই বিপদজনক একটা আক্রমণ, যা দিয়ে একটা ওয়েবসাইটকে হ্যাক করে নেওয়া যায়।
সর্তকতাঃ আমি শুধুমাত্র শিক্ষার উদ্দেশ্যে এই টিউটোরিয়াল তৈরি করেছি, এবং আমি কোনো বেআইনি কাজ করিনি অর্থাৎ কারো ওয়েবসাইট হ্যাক করিনি। আমার সার্ভারে আমি নিজেই একটা ওয়েব অ্যাপলিকেশন রান করিয়ে ওটা হ্যাক করে আপনাদের দেখিয়েছি। সাইট এডমিনিস্ট্রেটরের পারমিশন ছাড়া কোনো ওয়েবসাইট হ্যাক করা বেআইনি, যে করবেন সে নিজ দায়িত্ব নিয়ে বিবেচনা করে এই অসৎ কর্মতে লিপ্ত হবে আর এটার জন্য r1d3x0r এবং ট্রিকবিডি দায়ী থাকবে না।
আশা করি আমি আপনাদের সুন্দর এবং সহজ ভাবে বুঝাতে সক্ষম হয়েছি।
ভালো থাকুন সুস্থ থাকুন প্রিয় মানুষকে ভালো রাখুন সবসময় পজিটিভ থাকুন সকল সময় মোটিভেট থাকুন; ধন্যবাদ।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
ওয়েবসাইটের বিষয় যথেষ্ট Knowledge রাখা ভালো এবং কোন দূর্বলতায় কোন আক্রমণ করা যায় এই বিষয় আগে জানতে হবে কারণ আপনি কোনটা দূর্বলতা না জানলে দূর্বলতা আপনার সামনে থাকলেও কিছু করতে পারবেন না।
অবশ্যই পিএইচপিটা একটু জানা উচিৎ সেই সাথে ওয়েবসাইটের ব্যাকএন্ডে যে সকল প্রোগ্রামিং ল্যাংগুয়েজ ব্যবহার করা হয় ওইগুলোও জানা উচিৎ যেমনঃ PHP, Python etc
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
দুঃখিত ভিডিও টিউটোরিয়াল দিতে না পারাই আর ইহা সম্ভব না বর্তমান তবে আপনার মন্তব্য বিবেচনা করা হবে।
Ba aro details dile valo hoto
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
দুঃখিত ভিডিও টিউটোরিয়াল দিতে না পারাই আর ইহা সম্ভব না বর্তমান তবে আপনার মন্তব্য বিবেচনা করা হবে। আমি আমার কনটেন্টে যথেষ্ট তথ্য সহকারে উল্লেখ করেছি; আপনি যদি কোথায় বুঝতে অসুবিধা মনে করেন দয়া করে অবশ্যই সমস্যাটা জানান আমি আপনার সমস্যার বিষয় আরও বিস্তারিত তথ্য দিবো।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
দুঃখিত আপনাকে এই বিষয়ক তথ্য দিয়ে সহযোগীতা করতে না পারাই কারণ সাইট এডমিনিস্ট্রেটরের পারমিশন ছাড়া সেই সাইটের দূর্বল দিক এইভাবে পাবলিক প্লেসে বলা সাইবার ক্রাইম।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
পিএইচপির Basic যারা জানেন তারা জানে বিষয়টা তারপরও আপনাকে আবারও ধন্যবাদ।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য। আপনার পজিটিভ মন্তব্য আরও বিকাশ ঘটিয়ে চলুক, এই কামনা তীব্রতা পাক।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আর সেই সাথে আপনার ভাবনার সাধুবাদ জানাই কারণ ইহা সম্ভব।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আপনার অনুরোধের উপর ভিত্তি করে আমি এই সিরিজটি সক্রিয় রাখার যথাসাধ্য চেষ্টা করবো।
আপনাকে অগণিত ধন্যবাদ প্রকাশ করছি আপনার গুরুত্বপূর্ণ মন্তব্য জানানোর জন্য।
আপনার সমস্যাটি তুলে ধরার জন্য অনুরোধ করছি।