আসসালামু আলাইকুম।
আগের পোস্টে সাপোর্ট এবং রেস্পন্স পাওয়ার জন্য নতুন টিউটোরিয়াল নিয়ে আসছি।আজ এডভান্স টিউটোরিয়াল নিয়ে লিখবো।
বি.দ্রঃ আমি ফেসবুক হ্যাক বা ইমু হ্যাক পারি না।তাই ফেসবুকে এই মেসেজগুলো দিবেন না।শুধুমাত্র আমার পোস্টের টপিক নিয়ে সমস্যা থাকলে মেসেজ করতে পারেন।
আজ যে টপিক নিয়ে আলোচনা করব তা Owaps top 10 এর একটি। আজকের টপিক IDOR(Insecure Direct Object Reference)
অনেকে হয়তো এটার বিষয়ে জানেন না তাই প্রথমে জেনে নেয়া যাক।
IDOR কি: এই ভালনেরেবিলিটি দিয়ে প্রধানত পারমিশন বাদেও কোন ওয়েবসাইটের ইউজারের তথ্য দেখা যায়। যেমন আমি কোন ওয়েবসাইটের ইউজারের মোবাইল নম্বর, ইমেইল, ঠিকানা এই রকম ইনফোরমেশন পেতে পারেব। আবার অন্য ইউজারের অ্যাকাউন্ট টেকওভারও করতে পারেন।
IDOR দিয়ে কি কি সম্ভবঃ
১.ওয়েবসাইট থেকে ইনফরমেশন পাওয়া।
২.ইউজারের পাসওয়ার্ড বা ইমেইল পরিবর্তন করা।
৩.ইউজারের ইনফরমেশন পরিবর্তন করা।
৪.ইউজারের অ্যাকাউন্ট অ্যাক্সেস করা।
ফেসবুক, টুইটার এই জাতীয় ওয়েবসাইটেও এই বাগ পাওয়া গেছে তাই ট্রাই করতে পারেন।
এতে লাভ কি?:
গত কিছু পোস্টে এই প্রশ্নটি পেয়েছি। যদি ফেসবুক হ্যাক না করা যায় তাহলে এই রকম পোস্টের লাভ নাই।
আমি যে পোস্ট গুলো করেছি এইগুলো হ্যাকিং টিউটোরিয়াল। আমি স্পামিং পোস্ট করি না।আমার টিউটোরিয়াল দিয়ে ব্লাক হ্যাট হ্যাকিং এবং সাদা টুপি ও হতে পারেন।বাগ বাউন্টিতে IDOR একটি পরিচিত নাম এবং এটি বাগ বাউন্টি বিগিনারদের জন্য সহজ। সর্বনিম্ন ৫০ ডলার থেকে সর্বোচ্চ ৫০০০ বা তারও বেশি বাউন্টি পেতে পারেন।
যা যা প্রয়োজনঃ
১.পিসি
২.ইন্টারনেট কানেকশন
৩.Burp Suite
৪.আগ্রহ
এখন স্টেপ বাই স্টেপ শুরু করিঃ
১.আপনার টর্গেট ওয়েবসাইটে প্রবেশ করুন।
২.ওয়েবসাইটে লগিন করে আপনার অ্যাকাউন্ট এ প্রবেশ করুন।(প্যারামিটার পাওয়ার জন্য প্রয়োজন)
৩.এখন আমাদের IDOR. খুজতে হবে।তাই প্রথমে Burp Suite এবং ব্রাউজার configure করুন।IDOR খুজতে আপনাকে সব ট্যাব বা সেক্টর বা api এর রেস্পন্স চেক করে দেখতে হবে Burp suite দিয়ে।আপনাকে idor প্যারামিটার খুজতে হবে।প্যারামিটার গুলো অনেক রকমের হয়।যেমন userid,
post id,
user/112342,
login/113354,
account/edit/374838
৪.আমি এই ওয়েবসাইটে ব্যাংক ডিটেইলস অপশনে idor প্যারামিটার পেয়েছি।আমি user id প্যারামিটার পেয়েছি। Bank Details >Add Bank Details >এখন burp suite ওপেন করে intercet on করুন> তারপর OTP/Password যেকোন একটি সিলেক্ট করলে Burp Suite অটো রেসপন্স ক্যাপচার করবে।এই ভাবে আপনি এই ওয়েবসাইটে প্যারামিটারটি পাবেন।
৫.এখন Burp suite এর রেসপন্স দেখতে পাবেন।
এখানে খেয়াল রাখতে হবে সব userid প্যারামিটার কিন্তু idor কাজ করবে না।যে প্যারামিটার গুলোর নাম্বার ধারনা করা যায় শুধুমাত্র এই গুলোই সম্ভব। এখানে আমার নাম্বারটি একটি ধারা বা সিরিয়াল মেইনটেইন করছে।কিন্তু নাম্বারটি 37292993818379292,
324-gjh-233-uhg,
এই রকম বড় ধারণা করা সম্ভব নয় এমন হলে বা প্রতিবার রেন্ডম নাম্বার জেনারেট করলে IDOR সম্ভব নয়।
প্যারামিটারটি সিলেক্ট করে মাউসের রাইট বাটন ক্লিক করে Do intercept > Response this request এ ক্লিক করুন।তারপর forward এ ক্লিক করুন।এখন নতুন রেস্পন্স দেখতে পাবেন।
৬.এখন আমরা আমাদের অ্যাকাউন্ট এর ইনফরমেশন দেখতে পাবো।ইমেল এবং মোবাইল নম্বর। সুতরাং এই ওয়েবসাইট ভানরেনেবল। এখন exploit করার পালা।এখন আবার প্রথম স্টেপ থেকে শুরু করেন।আপনার ইউজার আইডি Burp এর রেসপন্স এ নিয়ে আসুন।
৭.এখন আমরা এই রেসপন্সকে forward করব না।যেকোন জায়গায় মাউসের রাইট বাটন ক্লিক করুন। তারপর Send to repeater অপশনে ক্লিক করুন।intetcept off করুন।
৮.এখন Burp এর রিপিটার ট্যাবে প্রবেশ করুন।
এখন এই আইডি নাম্বার পরিবর্তন করে তার রেস্পন্স দেখব।আইডি নাম্বারের শেষ ২ ডিজিট পরিবর্তন করব।আমার আইডির লাস্ট ২ ডিজিট ০৭ পরিবর্তন করে ০৬,০৫,০৪,০৩ ব্যবহার করব।
৯.এখন আইডি পরিবর্তন করার পরে উপরে send বাটনে ক্লিক করব।
১০.এখন আপনি পরিবর্তন করা আইডির ইনফরমেশন দেখতে পারবেন।অন্য ইউজারের আইডি দিয়ে তার অ্যাকাউন্ট এর ইনফরমেশন দেখতে পারবেন।
এটা বেসিক কনসেপ্ট।আপনি যদি পাসওয়ার্ড পরিবর্তনের রেসপন্স এ প্যারামিটার পান এবং এক্সপ্লোইট করা যায় তাহলে আপনি অ্যাকাউন্ট টেকওভার করতে পারবেন।
ভিডিও টিউটোরিয়ালঃ
