Be a Trainer! Share your knowledge.
Home » Hacking tutorials » IDOR Tutorial: ওয়েব অ্যাপ্লিকেশান থেকে ইনফরমেশন হ্যাক করা।

IDOR Tutorial: ওয়েব অ্যাপ্লিকেশান থেকে ইনফরমেশন হ্যাক করা।

ইউটিউবে ট্রিকবিডিকে সাবস্ক্রাইব করুন

আসসালামু আলাইকুম।

আগের পোস্টে সাপোর্ট এবং রেস্পন্স পাওয়ার জন্য নতুন টিউটোরিয়াল নিয়ে আসছি।আজ এডভান্স টিউটোরিয়াল নিয়ে লিখবো।

বি.দ্রঃ আমি ফেসবুক হ্যাক বা ইমু হ্যাক পারি না।তাই ফেসবুকে এই মেসেজগুলো দিবেন না।শুধুমাত্র আমার পোস্টের টপিক নিয়ে সমস্যা থাকলে মেসেজ করতে পারেন।

আজ যে টপিক নিয়ে আলোচনা করব তা Owaps top 10 এর একটি। আজকের টপিক IDOR(Insecure Direct Object Reference)
অনেকে হয়তো এটার বিষয়ে জানেন না তাই প্রথমে জেনে নেয়া যাক।

IDOR কি: এই ভালনেরেবিলিটি দিয়ে প্রধানত পারমিশন বাদেও কোন ওয়েবসাইটের ইউজারের তথ্য দেখা যায়। যেমন আমি কোন ওয়েবসাইটের ইউজারের মোবাইল নম্বর, ইমেইল, ঠিকানা এই রকম ইনফোরমেশন পেতে পারেব। আবার অন্য ইউজারের অ্যাকাউন্ট টেকওভারও করতে পারেন।

IDOR দিয়ে কি কি সম্ভবঃ
১.ওয়েবসাইট থেকে ইনফরমেশন পাওয়া।
২.ইউজারের পাসওয়ার্ড বা ইমেইল পরিবর্তন করা।
৩.ইউজারের ইনফরমেশন পরিবর্তন করা।
৪.ইউজারের অ্যাকাউন্ট অ্যাক্সেস করা।

ফেসবুক, টুইটার এই জাতীয় ওয়েবসাইটেও এই বাগ পাওয়া গেছে তাই ট্রাই করতে পারেন।

এতে লাভ কি?:
গত কিছু পোস্টে এই প্রশ্নটি পেয়েছি। যদি ফেসবুক হ্যাক না করা যায় তাহলে এই রকম পোস্টের লাভ নাই।
আমি যে পোস্ট গুলো করেছি এইগুলো হ্যাকিং টিউটোরিয়াল। আমি স্পামিং পোস্ট করি না।আমার টিউটোরিয়াল দিয়ে ব্লাক হ্যাট হ্যাকিং এবং সাদা টুপি ও হতে পারেন।বাগ বাউন্টিতে IDOR একটি পরিচিত নাম এবং এটি বাগ বাউন্টি বিগিনারদের জন্য সহজ। সর্বনিম্ন ৫০ ডলার থেকে সর্বোচ্চ ৫০০০ বা তারও বেশি বাউন্টি পেতে পারেন।

যা যা প্রয়োজনঃ
১.পিসি
২.ইন্টারনেট কানেকশন
৩.Burp Suite
৪.আগ্রহ

এখন স্টেপ বাই স্টেপ শুরু করিঃ
১.আপনার টর্গেট ওয়েবসাইটে প্রবেশ করুন।
২.ওয়েবসাইটে লগিন করে আপনার অ্যাকাউন্ট এ প্রবেশ করুন।(প্যারামিটার পাওয়ার জন্য প্রয়োজন)
৩.এখন আমাদের IDOR. খুজতে হবে।তাই প্রথমে Burp Suite এবং ব্রাউজার configure করুন।IDOR খুজতে আপনাকে সব ট্যাব বা সেক্টর বা api এর রেস্পন্স চেক করে দেখতে হবে Burp suite দিয়ে।আপনাকে idor প্যারামিটার খুজতে হবে।প্যারামিটার গুলো অনেক রকমের হয়।যেমন userid,
post id,
user/112342,
login/113354,
account/edit/374838

৪.আমি এই ওয়েবসাইটে ব্যাংক ডিটেইলস অপশনে idor প্যারামিটার পেয়েছি।আমি user id প্যারামিটার পেয়েছি। Bank Details >Add Bank Details >এখন burp suite ওপেন করে intercet on করুন> তারপর OTP/Password যেকোন একটি সিলেক্ট করলে Burp Suite অটো রেসপন্স ক্যাপচার করবে।এই ভাবে আপনি এই ওয়েবসাইটে প্যারামিটারটি পাবেন।



৫.এখন Burp suite এর রেসপন্স দেখতে পাবেন।

এখানে খেয়াল রাখতে হবে সব userid প্যারামিটার কিন্তু idor কাজ করবে না।যে প্যারামিটার গুলোর নাম্বার ধারনা করা যায় শুধুমাত্র এই গুলোই সম্ভব। এখানে আমার নাম্বারটি একটি ধারা বা সিরিয়াল মেইনটেইন করছে।কিন্তু নাম্বারটি 37292993818379292,
324-gjh-233-uhg,
এই রকম বড় ধারণা করা সম্ভব নয় এমন হলে বা প্রতিবার রেন্ডম নাম্বার জেনারেট করলে IDOR সম্ভব নয়।

প্যারামিটারটি সিলেক্ট করে মাউসের রাইট বাটন ক্লিক করে Do intercept > Response this request এ ক্লিক করুন।তারপর forward এ ক্লিক করুন।এখন নতুন রেস্পন্স দেখতে পাবেন।

৬.এখন আমরা আমাদের অ্যাকাউন্ট এর ইনফরমেশন দেখতে পাবো।ইমেল এবং মোবাইল নম্বর। সুতরাং এই ওয়েবসাইট ভানরেনেবল। এখন exploit করার পালা।এখন আবার প্রথম স্টেপ থেকে শুরু করেন।আপনার ইউজার আইডি Burp এর রেসপন্স এ নিয়ে আসুন।

৭.এখন আমরা এই রেসপন্সকে forward করব না।যেকোন জায়গায় মাউসের রাইট বাটন ক্লিক করুন। তারপর Send to repeater অপশনে ক্লিক করুন।intetcept off করুন।

৮.এখন Burp এর রিপিটার ট্যাবে প্রবেশ করুন।

এখানে আপনি আগের রেসপন্স দেখতে পাবেন। নিচে আমাদের ইউজার আইডি খুজুন।

এখন এই আইডি নাম্বার পরিবর্তন করে তার রেস্পন্স দেখব।আইডি নাম্বারের শেষ ২ ডিজিট পরিবর্তন করব।আমার আইডির লাস্ট ২ ডিজিট ০৭ পরিবর্তন করে ০৬,০৫,০৪,০৩ ব্যবহার করব।

৯.এখন আইডি পরিবর্তন করার পরে উপরে send বাটনে ক্লিক করব।

১০.এখন আপনি পরিবর্তন করা আইডির ইনফরমেশন দেখতে পারবেন।অন্য ইউজারের আইডি দিয়ে তার অ্যাকাউন্ট এর ইনফরমেশন দেখতে পারবেন।

এটা বেসিক কনসেপ্ট।আপনি যদি পাসওয়ার্ড পরিবর্তনের রেসপন্স এ প্যারামিটার পান এবং এক্সপ্লোইট করা যায় তাহলে আপনি অ্যাকাউন্ট টেকওভার করতে পারবেন।

ভিডিও টিউটোরিয়ালঃ

আমার চ্যানেল

7 months ago (Apr 16, 2021)

About Author (12)

13x.i
author

Peace....

19 responses to “IDOR Tutorial: ওয়েব অ্যাপ্লিকেশান থেকে ইনফরমেশন হ্যাক করা।”

  1. iT LeArNeR iT LeArNeR Contributor says:

    ভাই, এমন কোনো টুলস আছে যেটা দিয়ে ফেসবুকের সেইভ থাকা পাসওয়ার্ড বের করা যাবে? আমার একাউন্ট এর পাসওয়ার্ড ভুলে গেছি এবং সিম কার্ডটাও হারিয়ে গেছে। কোনো ভাবে জানা সম্ভব কি? ফোন রুট করা আছে…

  2. N1gh7 H0wl3r Contributor says:

    thanks bro keep on!

  3. 167✔ 167 Author says:

    খুব ভালো পোস্ট ভাই। আপনার সব পোস্টই ভালো আর তথ্যবহুল।

  4. vai egulo ki vpn use kore korbo..mane jate amar ip track korte na pare..

  5. Abdur Rahman Abdur Rahman Contributor says:

    Vai, Sob e toh bujhlam.. But Burp Suite Install kora shikhailen na? License key kaj korche na.. Next post burp suite install niye korlei valo hobe.

  6. Random Random Contributor says:

    মারাত্মক 🔥

  7. Jibon sopnomuki Contributor says:

    vai akta website amar kisu dollar mere diase. sei site tar information ber kore dite parben

  8. TheBestOrNothing TheBestOrNothing Contributor says:

    vai, apnar telegram id share krte parben ?

  9. mdmamunrahman mdmamunrahman Contributor says:

    Hello Bhai
    Please carry on

Leave a Reply

Switch To Desktop Version