কিভাবে একটি ওয়েবসাইট হ্যাক করবেন: অনলাইন ওয়েবসাইট হ্যাক করার উদাহরণ

আগের তুলনায় অনেক বেশি মানুষ ইন্টারনেটে প্রবেশাধিকার পেয়েছে। এটি অনেক সংগঠনকে ওয়েব-ভিত্তিক অ্যাপ্লিকেশনগুলি বিকাশের জন্য অনুপ্রাণিত করেছে যা ব্যবহারকারীরা অনলাইনে সংস্থার সাথে যোগাযোগ করতে ব্যবহার করতে পারে। সংবেদনশীল ডেটা এবং ওয়েব সার্ভারে অননুমোদিত অ্যাক্সেস পেতে ওয়েব অ্যাপ্লিকেশনগুলির জন্য খারাপভাবে লিখিত কোড ব্যবহার করা যেতে পারে।

এই টিউটোরিয়ালে আপনি শিখবেন কিভাবে ওয়েবসাইট হ্যাক করতে হয়, এবং আমরা আপনাকে পরিচয় করিয়ে দেব ওয়েব অ্যাপ্লিকেশন হ্যাকিং কৌশল এবং পাল্টা ব্যবস্থা আপনি এই ধরনের আক্রমণ থেকে রক্ষা করতে পারেন

এই টিউটোরিয়ালে বিষয়গুলি অন্তর্ভুক্ত

একটি ওয়েব অ্যাপ্লিকেশন কি? ওয়েব হুমকি কি?

একটি ওয়েব অ্যাপ্লিকেশন (ওরফে ওয়েবসাইট) হল ক্লায়েন্ট-সার্ভার মডেলের উপর ভিত্তি করে একটি অ্যাপ্লিকেশন। সার্ভার ডাটাবেস অ্যাক্সেস এবং ব্যবসায়িক যুক্তি প্রদান করে। এটি একটি ওয়েব সার্ভারে হোস্ট করা হয়। ক্লায়েন্ট অ্যাপ্লিকেশনটি ক্লায়েন্ট ওয়েব ব্রাউজারে চলে। ওয়েব অ্যাপ্লিকেশনগুলি সাধারণত জাভা, সি#, এবং ভিবি নেট, পিএইচপি, কোল্ডফিউশন মার্কআপ ল্যাঙ্গুয়েজ ইত্যাদি ভাষায় লেখা হয়।

বেশিরভাগ ওয়েব অ্যাপ্লিকেশনগুলি ইন্টারনেটের মাধ্যমে অ্যাক্সেসযোগ্য পাবলিক সার্ভারে হোস্ট করা হয়। এটি তাদের সহজে অ্যাক্সেসযোগ্যতার কারণে আক্রমণের ঝুঁকিপূর্ণ করে তোলে। নিম্নলিখিত সাধারণ ওয়েব অ্যাপ্লিকেশন হুমকি।

  • এসকিউএল ইনজেকশন - এই হুমকির লক্ষ্য হতে পারে লগইন অ্যালগরিদম বাইপাস করা, ডেটা নষ্ট করা ইত্যাদি।
  • সেবা আক্রমণ অস্বীকার করা - এই হুমকির লক্ষ্য হতে পারে বৈধ ব্যবহারকারীদের সম্পদে প্রবেশাধিকার অস্বীকার করা
  • ক্রস সাইট স্ক্রিপ্টিং XSS - এই হুমকির লক্ষ্য হতে পারে ইনজেকশন কোড যা ক্লায়েন্ট সাইড ব্রাউজারে কার্যকর করা যায়।
  • কুকি/সেশন বিষ - এই হুমকির লক্ষ্য হল অননুমোদিত অ্যাক্সেস অর্জনের জন্য আক্রমণকারীর কুকি/সেশন ডেটা পরিবর্তন করা।
  • ফর্ম টেম্পারিং -এই হুমকির লক্ষ্য হল ই-কমার্স অ্যাপ্লিকেশনে দামের মতো ফর্ম ডেটা পরিবর্তন করা যাতে আক্রমণকারী কম দামে জিনিস পেতে পারে।
  • কোড ইনজেকশন - এই হুমকির লক্ষ্য হল পিএইচপি, পাইথন ইত্যাদি কোড ইনজেক্ট করা যা সার্ভারে কার্যকর করা যায়। কোডটি পিছনের দরজা ইনস্টল করতে পারে, সংবেদনশীল তথ্য প্রকাশ করতে পারে ইত্যাদি।
  • বিকৃতকরণ - এই হুমকির লক্ষ্য হল একটি ওয়েবসাইটে প্রদর্শিত পৃষ্ঠাটি পরিবর্তন করা এবং আক্রমণকারীর বার্তা সম্বলিত একটি পৃষ্ঠায় সমস্ত পৃষ্ঠার অনুরোধ পুন redনির্দেশিত করা।

কিভাবে আপনার ওয়েবসাইটকে হ্যাক থেকে রক্ষা করবেন?

ওয়েব সার্ভার আক্রমণের বিরুদ্ধে নিজেকে রক্ষা করার জন্য একটি প্রতিষ্ঠান নিম্নলিখিত নীতি গ্রহণ করতে পারে।

  • এসকিউএল ইনজেকশন - প্রক্রিয়াকরণের জন্য ডাটাবেসে জমা দেওয়ার আগে ব্যবহারকারীর প্যারামিটারগুলি স্যানিটাইজ করা এবং যাচাই করা এর মাধ্যমে আক্রমণের সম্ভাবনা কমাতে সাহায্য করতে পারে এসকিউএল ইনজেকশন । ডাটাবেস ইঞ্জিন যেমন এমএস এসকিউএল সার্ভার, মাইএসকিউএল ইত্যাদি প্যারামিটার সমর্থন করে এবং বিবৃতি প্রস্তুত করে। তারা প্রচলিত এসকিউএল স্টেটমেন্টের চেয়ে অনেক বেশি নিরাপদ
  • সেবা আক্রমণ অস্বীকার করা - ফায়ারওয়ালগুলি সন্দেহজনক আইপি ঠিকানা থেকে ট্র্যাফিক নামানোর জন্য ব্যবহার করা যেতে পারে যদি আক্রমণটি একটি সাধারণ DoS হয়। নেটওয়ার্কের সঠিক কনফিগারেশন এবং অনুপ্রবেশ সনাক্তকরণ সিস্টেম একটি DoS আক্রমণ সফল হওয়ার সম্ভাবনা কমাতে সাহায্য করতে পারে।
  • ক্রস সাইট স্ক্রিপ্টিং - শিরোলেখ যাচাই এবং স্যানিটাইজ করা, URL- এর মাধ্যমে পাস করা প্যারামিটার, ফর্ম প্যারামিটার এবং লুকানো মান XSS আক্রমণ কমাতে সাহায্য করতে পারে।
  • কুকি/সেশন বিষ - এটি কুকিজের বিষয়বস্তু এনক্রিপ্ট করে, কিছু সময় পর কুকিজের সময় বের করে, কুকিগুলিকে ক্লায়েন্ট আইপি ঠিকানার সাথে যুক্ত করে যা সেগুলি তৈরি করতে ব্যবহৃত হয়েছিল।
  • ফর্ম টেম্পারিং - এটি প্রক্রিয়া করার আগে ব্যবহারকারীর ইনপুট যাচাই এবং যাচাই করে এটি প্রতিরোধ করা যেতে পারে।
  • কোড ইনজেকশন - এক্সিকিউটেবল কোডের পরিবর্তে সমস্ত প্যারামিটারকে ডেটা হিসাবে বিবেচনা করে এটি প্রতিরোধ করা যেতে পারে। স্যানিটাইজেশন এবং যাচাইকরণ এটি বাস্তবায়নের জন্য ব্যবহার করা যেতে পারে।
  • বিকৃতকরণ - একটি ভাল ওয়েব অ্যাপ্লিকেশন ডেভেলপমেন্ট সিকিউরিটি পলিসি নিশ্চিত করা উচিত যে এটি ওয়েব সার্ভার অ্যাক্সেস করার জন্য সাধারণভাবে ব্যবহৃত দুর্বলতাগুলিকে সীলমোহর করে। এটি অপারেটিং সিস্টেম, ওয়েব সার্ভার সফটওয়্যার এবং ওয়েব অ্যাপ্লিকেশন ডেভেলপ করার সময় সর্বোত্তম নিরাপত্তা অনুশীলনের সঠিক কনফিগারেশন হতে পারে।

ওয়েবসাইট হ্যাকিং কৌশল: অনলাইনে একটি ওয়েবসাইট হ্যাক করুন

এই ওয়েবসাইট হ্যাকিং ব্যবহারিক দৃশ্যকল্প, আমরা অবস্থিত ওয়েব অ্যাপ্লিকেশনের ব্যবহারকারী সেশন হাইজ্যাক করতে যাচ্ছি www.techpanda.org । আমরা কুকি সেশন আইডি পড়ার জন্য ক্রস সাইট স্ক্রিপ্টিং ব্যবহার করব তারপর একটি বৈধ ব্যবহারকারী সেশনের ছদ্মবেশ ধারণ করতে এটি ব্যবহার করব।

অনুমান করা হয় যে আক্রমণকারীর ওয়েব অ্যাপ্লিকেশনটিতে অ্যাক্সেস রয়েছে এবং তিনি একই অ্যাপ্লিকেশন ব্যবহারকারী অন্যান্য ব্যবহারকারীদের সেশন হাইজ্যাক করতে চান। এই আক্রমণের লক্ষ্য হতে পারে আক্রমণকারীর অ্যাক্সেস অ্যাকাউন্ট সীমিত বলে ধরে নিয়ে ওয়েব অ্যাপ্লিকেশনে প্রশাসকের প্রবেশাধিকার লাভ করা।

শুরু হচ্ছে

  • খোলা http://www.techpanda.org/
  • অনুশীলনের উদ্দেশ্যে, এসকিউএল ইনজেকশন ব্যবহার করে অ্যাক্সেস লাভের জন্য এটি দৃ strongly়ভাবে সুপারিশ করা হয়। এই দেখুন নিবন্ধ এটি কীভাবে করবেন সে সম্পর্কে আরও তথ্যের জন্য।
  • লগইন ইমেইল হলএই ইমেইল ঠিকানাটি spambots থেকে রক্ষা করা হচ্ছে। এটি দেখতে আপনার জাভাস্ক্রিপ্ট সক্ষম হওয়া দরকার।, পাসওয়ার্ড হল Password2010
  • আপনি যদি সফলভাবে লগ ইন করেন, তাহলে আপনি নিম্নলিখিত ড্যাশবোর্ডটি পাবেন

  • Add New Contact এ ক্লিক করুন
  • প্রথম নাম হিসাবে নিম্নলিখিত লিখুন

অন্ধকার

এখানে,

উপরের কোডটি জাভাস্ক্রিপ্ট ব্যবহার করেএটি একটি অনক্লিক ইভেন্টের সাথে একটি হাইপারলিঙ্ক যোগ করে । যখন অপ্রত্যাশিত ব্যবহারকারী লিঙ্কটি ক্লিক করে, ইভেন্টটি পিএইচপি কুকি সেশন আইডি পুনরুদ্ধার করে এবং এটি URL- এ সেশন আইডি সহ snatch_sess_id.php পৃষ্ঠায় পাঠায়

  • নীচে দেখানো হিসাবে অবশিষ্ট বিবরণ লিখুন
  • Save Changes এ ক্লিক করুন

  • আপনার ড্যাশবোর্ড এখন নিচের স্ক্রিনের মত দেখাবে

  • যেহেতু ক্রস সাইট স্ক্রিপ্ট কোড ডাটাবেসে সংরক্ষিত থাকে, তাই এটি ব্যবহারকারীদের অ্যাক্সেস অধিকার লগইন করার সময় প্রতিবার লোড হবে
  • ধরুন অ্যাডমিনিস্ট্রেটর লগইন করে এবং হাইপারলিঙ্কে ক্লিক করে যা ডার্ক বলে
  • সে/সে URL এ প্রদর্শিত সেশন আইডি সহ উইন্ডো পাবে

বিঃদ্রঃ : স্ক্রিপ্টটি কিছু দূরবর্তী সার্ভারে মান পাঠাতে পারে যেখানে PHPSESSID সংরক্ষিত থাকে তারপর ব্যবহারকারী আবার ওয়েবসাইটে পুনirectনির্দেশিত হয় যেন কিছুই হয়নি।

বিঃদ্রঃ : এই ওয়েবপেজ হ্যাকিং টিউটোরিয়াল থেকে আপনি যে মান পাবেন তা ভিন্ন হতে পারে, কিন্তু ধারণাটি একই

ফায়ারফক্স এবং ট্যাম্পার ডেটা অ্যাড-অন ব্যবহার করে সেশন ছদ্মবেশ

নীচের ফ্লোচার্ট এই ব্যায়ামটি সম্পন্ন করার জন্য আপনাকে যে পদক্ষেপগুলি নিতে হবে তা দেখায়।

  • এই বিভাগের জন্য আপনার ফায়ারফক্স ওয়েব ব্রাউজার এবং ডেটা অ্যাড-অন ট্যাম্পারের প্রয়োজন হবে
  • ফায়ারফক্স খুলুন এবং নিচের ডায়াগ্রামে দেখানো অ্যাডটি ইনস্টল করুন

  • টেম্পার ডেটার জন্য অনুসন্ধান করুন তারপর উপরে দেখানো হিসাবে ইনস্টল ক্লিক করুন

  • Accept এবং Install- এ ক্লিক করুন।

  • ইনস্টলেশন সম্পন্ন হলে এখনই পুনরায় চালু করুন এ ক্লিক করুন
  • ফায়ারফক্সে মেনু বারটি দেখানো না থাকলে তা সক্ষম করুন

  • টুলস মেনুতে ক্লিক করুন তারপর নিচে দেখানো হিসাবে ট্যাম্পার ডেটা নির্বাচন করুন

  • আপনি নিম্নলিখিত উইন্ডো পাবেন। দ্রষ্টব্য: যদি উইন্ডোজটি খালি না থাকে তবে পরিষ্কার বোতামটি টিপুন

  • স্টার্ট ট্যাম্পার মেনুতে ক্লিক করুন
  • ফায়ারফক্স ওয়েব ব্রাউজারে ফিরে যান, টাইপ করুন http://www.techpanda.org/dashboard.php তারপর পৃষ্ঠাটি লোড করতে এন্টার কী টিপুন
  • আপনি ট্যাম্পার ডেটা থেকে নিম্নলিখিত পপ আপ পাবেন

  • পপ-আপ উইন্ডোতে তিনটি (3) বিকল্প রয়েছে। ছদ্মবেশী বিকল্পটি আপনাকে সার্ভারে জমা দেওয়ার আগে HTTP হেডার তথ্য পরিবর্তন করতে দেয়
  • এটিতে ক্লিক করুন
  • আপনি নিম্নলিখিত উইন্ডো পাবেন

  • পিএইচপি সেশন আইডি আপনি আক্রমণের ইউআরএল থেকে কপি করেছেন এবং সমান চিহ্নের পরে পেস্ট করুন। আপনার মান এখন এই মত হওয়া উচিত

PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2

  • OK বাটনে ক্লিক করুন
  • আপনি আবার ট্যাম্পার ডেটা পপআপ উইন্ডো পাবেন

  • চেকবক্সটি আনচেক করুন যে জিজ্ঞাসা করে ছদ্মবেশ চালিয়ে যান?
  • হয়ে গেলে সাবমিট বাটনে ক্লিক করুন
  • আপনি নীচে দেখানো হিসাবে ড্যাশবোর্ড দেখতে সক্ষম হওয়া উচিত

বিঃদ্রঃ : আমরা লগইন করিনি, আমরা ক্রস সাইট স্ক্রিপ্টিং ব্যবহার করে উদ্ধার করা PHPSESSID মান ব্যবহার করে একটি লগইন সেশনের ছদ্মবেশ ধারণ করেছি

সারসংক্ষেপ

  • একটি ওয়েব অ্যাপ্লিকেশন সার্ভার-ক্লায়েন্ট মডেলের উপর ভিত্তি করে। ক্লায়েন্ট সাইড সার্ভারে সম্পদ অ্যাক্সেস করতে ওয়েব ব্রাউজার ব্যবহার করে।
  • ওয়েব অ্যাপ্লিকেশনগুলি সাধারণত ইন্টারনেটে অ্যাক্সেসযোগ্য। এটি তাদের আক্রমণের জন্য দুর্বল করে তোলে।
  • ওয়েব অ্যাপ্লিকেশন হুমকির মধ্যে রয়েছে এসকিউএল ইনজেকশন, কোড ইনজেকশন, এক্সএসএস, ডিফেসমেন্ট, কুকি পয়জনিং ইত্যাদি।
  • ওয়েব অ্যাপ্লিকেশনগুলি বিকাশের সময় একটি ভাল সুরক্ষা নীতি তাদের সুরক্ষিত করতে সহায়তা করতে পারে।