আসসালামু আলাইকুম।
পোস্টটি খুবই ছোট। মূলত একটি এনাউন্সমেন্ট করার জন্য পোস্ট।
এনাউন্সমেন্টঃঅনেকেই হ্যাকিং এর প্রতি আগ্রহী এবং অনেকেই আমাকে গ্রুপ খুলতে বলেছেন।তাই আপনাদের জন্য একটি Discussion গ্রুপ খুলছি।নিচের ফর্ম সাবমিট করেন সিলেক্ট হলে আপনাকে মেইলে জানানো হবে।টিউটোরিয়ালঃ
Xss বা Cross Site Scripting একটি অতি জনপ্রিয় ওয়েবসাইট ভালনেরেবিলিটি।এটি এক্সপ্লোইট করা অনেক সহজ।এবং হাই রিওয়ার্ড পাবেন বাগ বাউন্টি প্রোগ্রাম থেকে।
Xss অনেক প্রকার।তার মধ্যে জনপ্রিয়ঃ
1.Reflected
2.Dom
3.Stored
Stored xss সবচেয়ে বেশি হাই ভালনারিবিলিটির। কোন ওয়েবসাইটে আপনি xss পে লোড এক্সেকিউট করাতে পারলে যদি একটি পপ আপ পান তাহলে ওয়েবসাইটটি ভালনেরেবল।আর যদি একবার পে লোড রান করিয়ে প্রতিবার লিংকে প্রবেশ করলে যদি পপ আপ দেখতে পান তাহলে এটি Stored Xss।
আমি যেভাবে এক্সপ্লোইট করলামঃ
১.প্রথমে আমি গুগল থেকে ডর্ক ব্যবহার করে ওয়েবসাইট খুজে নিলাম।
২.এডমিন প্যানেলে অ্যাক্সেস নিলাম।এডমিন প্যানেল অ্যাক্সেস না করেও সম্ভব।
৩.ওয়েবসাইটে সব সেকশন দেখার পর আমি একটা সেকশনে ডাটা ইনপুট অপশন পেলাম।
৪.এখানে নামের ইনপুট ফ্লিডে আমি xss পে লোড দিলাম।
পে লোডঃalert(1)
৫.এখন সাবমিট করলে সাথে সাথে একটা পপ আপ পাবেন।
৬.যেহেতু আমি এডমিন প্যানেল থেকে সাবমিট করছি তাই এই ডাটা ওয়েবসাইটের ডেটাবেইসে স্টোর হয়ে গেছে।
৭.মূল ওয়েবসাইটে পে লোডের আইডি নাম্বার দিয়ে সার্চ করলে আপনি আবারও পপ আপ দেখতে পারবেন। কারন হলো এটি Stored Xss।
৮.এখন যদি কোন ভিক্টিম এই লিংক বা আইডি তে প্রবেশ করে তাহলে পে লোড অনুযায়ী কুকি স্টিলিং বা অন্য ওয়েবসাইটে রিডাইরেক্ট করতে পারবেন।
ধন্যবাদ।
আল্লাহ হাফেজ।