আসসালামু আলাইকুম।

আগের পোস্টে সাপোর্ট এবং রেস্পন্স পাওয়ার জন্য নতুন টিউটোরিয়াল নিয়ে আসছি।আজ এডভান্স টিউটোরিয়াল নিয়ে লিখবো।

বি.দ্রঃ আমি ফেসবুক হ্যাক বা ইমু হ্যাক পারি না।তাই ফেসবুকে এই মেসেজগুলো দিবেন না।শুধুমাত্র আমার পোস্টের টপিক নিয়ে সমস্যা থাকলে মেসেজ করতে পারেন।

আজ যে টপিক নিয়ে আলোচনা করব তা Owaps top 10 এর একটি। আজকের টপিক IDOR(Insecure Direct Object Reference)
অনেকে হয়তো এটার বিষয়ে জানেন না তাই প্রথমে জেনে নেয়া যাক।

IDOR কি: এই ভালনেরেবিলিটি দিয়ে প্রধানত পারমিশন বাদেও কোন ওয়েবসাইটের ইউজারের তথ্য দেখা যায়। যেমন আমি কোন ওয়েবসাইটের ইউজারের মোবাইল নম্বর, ইমেইল, ঠিকানা এই রকম ইনফোরমেশন পেতে পারেব। আবার অন্য ইউজারের অ্যাকাউন্ট টেকওভারও করতে পারেন।

IDOR দিয়ে কি কি সম্ভবঃ
১.ওয়েবসাইট থেকে ইনফরমেশন পাওয়া।
২.ইউজারের পাসওয়ার্ড বা ইমেইল পরিবর্তন করা।
৩.ইউজারের ইনফরমেশন পরিবর্তন করা।
৪.ইউজারের অ্যাকাউন্ট অ্যাক্সেস করা।

ফেসবুক, টুইটার এই জাতীয় ওয়েবসাইটেও এই বাগ পাওয়া গেছে তাই ট্রাই করতে পারেন।

এতে লাভ কি?:
গত কিছু পোস্টে এই প্রশ্নটি পেয়েছি। যদি ফেসবুক হ্যাক না করা যায় তাহলে এই রকম পোস্টের লাভ নাই।
আমি যে পোস্ট গুলো করেছি এইগুলো হ্যাকিং টিউটোরিয়াল। আমি স্পামিং পোস্ট করি না।আমার টিউটোরিয়াল দিয়ে ব্লাক হ্যাট হ্যাকিং এবং সাদা টুপি ও হতে পারেন।বাগ বাউন্টিতে IDOR একটি পরিচিত নাম এবং এটি বাগ বাউন্টি বিগিনারদের জন্য সহজ। সর্বনিম্ন ৫০ ডলার থেকে সর্বোচ্চ ৫০০০ বা তারও বেশি বাউন্টি পেতে পারেন।

যা যা প্রয়োজনঃ
১.পিসি
২.ইন্টারনেট কানেকশন
৩.Burp Suite
৪.আগ্রহ

এখন স্টেপ বাই স্টেপ শুরু করিঃ
১.আপনার টর্গেট ওয়েবসাইটে প্রবেশ করুন।
২.ওয়েবসাইটে লগিন করে আপনার অ্যাকাউন্ট এ প্রবেশ করুন।(প্যারামিটার পাওয়ার জন্য প্রয়োজন)
৩.এখন আমাদের IDOR. খুজতে হবে।তাই প্রথমে Burp Suite এবং ব্রাউজার configure করুন।IDOR খুজতে আপনাকে সব ট্যাব বা সেক্টর বা api এর রেস্পন্স চেক করে দেখতে হবে Burp suite দিয়ে।আপনাকে idor প্যারামিটার খুজতে হবে।প্যারামিটার গুলো অনেক রকমের হয়।যেমন userid,
post id,
user/112342,
login/113354,
account/edit/374838

৪.আমি এই ওয়েবসাইটে ব্যাংক ডিটেইলস অপশনে idor প্যারামিটার পেয়েছি।আমি user id প্যারামিটার পেয়েছি। Bank Details >Add Bank Details >এখন burp suite ওপেন করে intercet on করুন> তারপর OTP/Password যেকোন একটি সিলেক্ট করলে Burp Suite অটো রেসপন্স ক্যাপচার করবে।এই ভাবে আপনি এই ওয়েবসাইটে প্যারামিটারটি পাবেন।



৫.এখন Burp suite এর রেসপন্স দেখতে পাবেন।

এখানে খেয়াল রাখতে হবে সব userid প্যারামিটার কিন্তু idor কাজ করবে না।যে প্যারামিটার গুলোর নাম্বার ধারনা করা যায় শুধুমাত্র এই গুলোই সম্ভব। এখানে আমার নাম্বারটি একটি ধারা বা সিরিয়াল মেইনটেইন করছে।কিন্তু নাম্বারটি 37292993818379292,
324-gjh-233-uhg,
এই রকম বড় ধারণা করা সম্ভব নয় এমন হলে বা প্রতিবার রেন্ডম নাম্বার জেনারেট করলে IDOR সম্ভব নয়।

প্যারামিটারটি সিলেক্ট করে মাউসের রাইট বাটন ক্লিক করে Do intercept > Response this request এ ক্লিক করুন।তারপর forward এ ক্লিক করুন।এখন নতুন রেস্পন্স দেখতে পাবেন।

৬.এখন আমরা আমাদের অ্যাকাউন্ট এর ইনফরমেশন দেখতে পাবো।ইমেল এবং মোবাইল নম্বর। সুতরাং এই ওয়েবসাইট ভানরেনেবল। এখন exploit করার পালা।এখন আবার প্রথম স্টেপ থেকে শুরু করেন।আপনার ইউজার আইডি Burp এর রেসপন্স এ নিয়ে আসুন।

৭.এখন আমরা এই রেসপন্সকে forward করব না।যেকোন জায়গায় মাউসের রাইট বাটন ক্লিক করুন। তারপর Send to repeater অপশনে ক্লিক করুন।intetcept off করুন।

৮.এখন Burp এর রিপিটার ট্যাবে প্রবেশ করুন।

এখানে আপনি আগের রেসপন্স দেখতে পাবেন। নিচে আমাদের ইউজার আইডি খুজুন।

এখন এই আইডি নাম্বার পরিবর্তন করে তার রেস্পন্স দেখব।আইডি নাম্বারের শেষ ২ ডিজিট পরিবর্তন করব।আমার আইডির লাস্ট ২ ডিজিট ০৭ পরিবর্তন করে ০৬,০৫,০৪,০৩ ব্যবহার করব।

৯.এখন আইডি পরিবর্তন করার পরে উপরে send বাটনে ক্লিক করব।

১০.এখন আপনি পরিবর্তন করা আইডির ইনফরমেশন দেখতে পারবেন।অন্য ইউজারের আইডি দিয়ে তার অ্যাকাউন্ট এর ইনফরমেশন দেখতে পারবেন।

এটা বেসিক কনসেপ্ট।আপনি যদি পাসওয়ার্ড পরিবর্তনের রেসপন্স এ প্যারামিটার পান এবং এক্সপ্লোইট করা যায় তাহলে আপনি অ্যাকাউন্ট টেকওভার করতে পারবেন।

ভিডিও টিউটোরিয়ালঃ

আমার চ্যানেল

20 thoughts on "IDOR Tutorial: ওয়েব অ্যাপ্লিকেশান থেকে ইনফরমেশন হ্যাক করা।"

    1. 13x.i Author Post Creator says:
      Thanks
  1. iT LeArNeR Contributor says:
    ভাই, এমন কোনো টুলস আছে যেটা দিয়ে ফেসবুকের সেইভ থাকা পাসওয়ার্ড বের করা যাবে? আমার একাউন্ট এর পাসওয়ার্ড ভুলে গেছি এবং সিম কার্ডটাও হারিয়ে গেছে। কোনো ভাবে জানা সম্ভব কি? ফোন রুট করা আছে…
    1. 13x.i Author Post Creator says:
      Email add koren then forget password diye new password den.
  2. N1gh7 H0wl3r Contributor says:
    thanks bro keep on!
    1. 13x.i Author Post Creator says:
      Thanks
  3. 167 Author says:
    খুব ভালো পোস্ট ভাই। আপনার সব পোস্টই ভালো আর তথ্যবহুল।
  4. vai egulo ki vpn use kore korbo..mane jate amar ip track korte na pare..
    1. 13x.i Author Post Creator says:
      Ha korte paren.
  5. Abdur Rahman Contributor says:
    Vai, Sob e toh bujhlam.. But Burp Suite Install kora shikhailen na? License key kaj korche na.. Next post burp suite install niye korlei valo hobe.
    1. 13x.i Author Post Creator says:
      Free edition use koren
  6. Random Contributor says:
    মারাত্মক ?
  7. sopnomuki Contributor says:
    vai akta website amar kisu dollar mere diase. sei site tar information ber kore dite parben
  8. Md Azizur Rahaman Contributor says:
    Well. Keep it up
  9. TheBestOrNothing Contributor says:
    vai, apnar telegram id share krte parben ?
    1. 13x.i Author Post Creator says:
      Telegram use kori na
    2. TheBestOrNothing Contributor says:
      kivabe contact korbo ?
      telegram use korle onek valo hoto
  10. mdmamunrahman Contributor says:
    Hello Bhai
    Please carry on

Leave a Reply