দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে।

প্রিয় আমারটিপ্সর ব্যবহারকারী এবং ভিজিটর,
আশা করছি বর্তমান পরিস্থিতির সাথে নিজেকে মানিয়ে নিয়ে মায়াবী পৃথিবীর অপরূপ সুন্দরতা উপভোগ করছেন।
আজকের টিউটোরিয়ালে আমি আপনাদের সাথে যেটা শেয়ার করবো সেই বিষয়টা হলো

“এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসে এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে আর এই এক্সএসএস দূর্বলতা কোনো ওয়েবসাইটে থাকলে কী হয় এই বিষয় আজকের টিউটোরিয়াল আমার”

এই ডিজিটাল যুগে আমরা সকলেই ওয়েবসাইট কী জানি আর অবশ্যই জানারই কথা আপনার, আর আমি ধরেও নিচ্ছি আপনি জানেন কারণ আপনি যদি ওয়েবসাইট কী না জানেন তাহলে অবশ্যই আমারটিপ্সতেও প্রবেশ করতে পারতেন না। তাহলে আমি বুঝতে পারলাম আপনি ওয়েবসাইট কী জানেন।

ইন্টারনেটে প্রতিদিনিই অগণিত ওয়েবসাইটস তৈরি হচ্ছে, বিভিন্ন স্কুল, কলেজ অথবা যেকোনো শিক্ষা প্রতিষ্ঠানের জন্য। তবে যে শুধু শিক্ষা প্রতিষ্ঠানের জন্য ওয়েবসাইট তৈরি হচ্ছে না এমন না। বিভিন্ন কাজের উদ্দেশ্য নিয়ে ওয়েবসাইট তৈরি করা হয়ে থাকে। কেউ হয়তো টেক ওয়েবসাইট তৈরি করছে, কেউ হয়তো নিউজ ওয়েবসাইট তৈরি করছে আবার কেউ হয়তো সোশ্যাল মিডিয়া ওয়েবসাইট তৈরি করছে।

ওয়েবসাইট বানাতে গেলে একজনকে খুবই ভালো মানের ওয়েব ডিজাইনার এবং ওয়েব ডেভেলপার হওয়ার প্রয়োজন পড়ে। যদি দক্ষ না হয় ওয়েব ডিজাইন বা ওয়েব ডেভেলপিং এ তাহলে কিন্তু সে অনলাইন মার্কেট প্লেসেও কাজ পাই না সহজে। তবে যেহেতু প্রতিদিনই প্রযুক্তির উন্নতি হচ্ছে ততোই জানো সব কিছু সহজ হয়ে যাচ্ছে আমাদের সামনে। এমন অনেক মাধ্যম আছে ওই গুলো ব্যবহার করলে যে ওয়েবসাইট বানাচ্ছে তার কোডিং দক্ষতা না থাকলেও সে একটা উন্নতমানের ওয়েবসাইট বানাতে সক্ষম।

বর্তমান সময়ের খুবই জনপ্রিয় সিএমএস অর্থাৎ কনটেন্ট ম্যানেজমেন্ট সিস্টেম ওয়ার্ডপ্রেস। এটা জনপ্রিয় হওয়ার কারণ হলো এইখানে কোডিং দক্ষতা ছাড়াই যে কেউ একটা পেশাগত ওয়েবসাইট বানিয়ে ফেলতে পারে। আর আমরা চাইও এমন যে এতো কষ্ট করে রাত এবং দিনকে এক করে এতো কোডিং করে একটা ওয়েবসাইট না বানিয়ে এমন সিএমএস ব্যবহার করতে পারলেই হলো। এতে করে আমাদের ওয়েবসাইট তো হলো কিন্তু আমরা জানিও না যে এটা আসলে নিরাপদ কী অর্থাৎ আমাদের ওয়েবসাইটকে সিকিউরিটি প্রদান করছে কী আদৌ।

হ্যাকিং জগৎতের খুবই জনপ্রিয় একটা আক্রমণ হচ্ছে এক্সএসএস এর মানে হচ্ছে ক্রোস সাইট স্ক্রিপ্টিং। একজন নবীন হ্যাকার মূলত এটা অনেক বেশীই ব্যবহার করে, আবার পুরাতন হ্যাকারগণও করে। মূল কথা হলো যখন যে আক্রমণের প্রয়োজন হয় তখন হ্যাকার টার্গেট ওয়েবসাইটে সেই আক্রমণই সক্রিয় করে। আমরা জানি হ্যাকার মূলত তিন প্রকারের হয়ে থাকে তার মধ্যে যে হ্যাকার গুলোকে কালো টুপি দ্বারা চিহ্নিত করা হয় তারা একটা ওয়েবসাইটের দূর্বলতা পেলেই সেই ওয়েবসাইটের এডমিনিস্ট্রেটরের পারমিশন ছাড়াই ওই ওয়েবসাইট হ্যাক করে।

হ্যাক করার পর ওই ওয়েবসাইটের বিভিন্ন গুরুত্বপূর্ণ ফাইলস নষ্ট করে দিয়ে থাকে এবং ওয়েবসাইটের গুরুত্বপূর্ণ ডাটা গুলো নিজের কাছে সংরক্ষণ করে। গুরুত্বপূর্ণ ডাটার ভেতর যদি এমন কোনো ডাটা থাকে যেটা দিয়ে সাইট এডমিনিস্ট্রেটরকে ক্ষতি করা যায় তখন ওই ডাটা নিয়ে হ্যাকার হুমকী দিয়ে অর্থ আয় করে থাকে। আবার অনেক হ্যাকার ওয়েবসাইট হ্যাক করে নিজের নাম অথবা টিমের নাম জনপ্রিয় করার প্রচেষ্টা চালাই, আর এইসব অসৎ কাজ গুলো করে থাকে কালো টুপির হ্যাকার।

বর্তমান জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসের সর্বশেষ ভার্সন যেটি সেটা হলো ওয়ার্ডপ্রেস ৫.৫ এবং এই ভার্সনে এক্সএসএস দূর্বলতা পাওয়া গিয়েছে। আর এই এক্সএসএস দূর্বলতার জন্ম নেয় অদক্ষ ডেভেলপার দিয়ে কোনো থীম বা কোনো ওয়েব অ্যাপলিকেশন ডেভেলপ করলে। সার্চ ইঞ্জিন ব্যবহার করলে দেখা যায় মাত্রাধিক ওয়েবসাইটে কিন্তু এই ওয়ার্ডপ্রেস সিএমএস ব্যবহার করা হয়েছে।

এইসকল ওয়েবসাইটে যদি কোনো কালো টুপির হ্যাকার এক্সএসএস আক্রমণ সক্রিয় করে এবং মূল ওয়েবসাইটের ব্যাকগ্রাউন্ডে যদি আরও কোনো ওয়েব পেজ রান করিয়ে রাখে তাহলে ওই ওয়েবসাইটের ব্যবহারকারী এবং ভিজিটর দারুন ভাবে ক্ষতিগ্রস্ত হবে। আবার মনে করুন যদি কোনো এক্সএসএস দূর্বল ওয়েবসাইটে কোনো কালো টুপির হ্যাকার একটা ওয়েবপেজ রান করাই যেখানে আপনার ক্রেডিট কার্ডের তথ্য চাচ্ছে আর ওই এক্সএসএস দূর্বল ওয়েবসাইট যদি কোনো কমার্শিয়াল ওয়েবসাইট হয় তাহলে তো ব্যবহারকারী বা ভিজিটরের বুঝারও ক্ষমতা নাই যে এটা হ্যাকারের তৈরি একটা ফাঁদ।

বর্তমান করোনা ভাইরাসের কারণে পৃথিবীর সকল দেশ লক ডাউন করা হয়েছে, আর মনে করুন আপনার খুব চকলেট পছন্দ আর এই দিকে আপনার চকলেটও শেষ তখন আপনি সার্চ ইঞ্জিন ব্যবহার করে একটা ওয়েবসাইটে প্রবেশ করলেন যে ওয়েবসাইট চকলেট সেল করে এবং আপনার বাসা পর্যন্ত পৌঁছে দিবে আপনার চকলেট। আপনি যখন চকলেট অর্ডার করলেন তখন আপনাকে হ্যাকারের তৈরি করা পেমেন্ট পেজে রিডাইরেক্ট করে দেওয়া হলো আর আপনি আপনার ক্রেডিট কার্ডের তথ্য দিয়ে চকলেট অর্ডার করলেন; এই দিকে আপনি কিছুই বুঝতে পারলেন না যে আপনার ক্রেডিট কার্ড হ্যাক করে নিলো হ্যাকার।

স্ক্রিনশট দেখুন, আমি আমার সার্ভারে ওয়ার্ডপ্রেসের সর্বশেষ ভার্সন যেটি সেটা হলো ওয়ার্ডপ্রেস ৫.৫ কে ইন্সটল করে নিয়েছি।

নিচের স্ক্রিনশট দেখুন এটা আমার ওয়েবসাইট, আর যারা ওয়ার্ডপ্রেস সিএমএস ব্যবহার করেন তারা জানেন যে ওয়ার্ডপ্রেস ইন্সটল করার পর Hello World নামক একটা অটোমেটিক পোস্ট পাবলিশ করা হয়; আর আমি এখন এই পোস্টটি ওপেন করছি।

এই কনটেন্টির আমি কমেন্ট বক্সে এখন একটি জাভাস্ক্রিপ্টের কোড মন্তব্য করছি, দেখুন কাজ করে কী।

স্ক্রিনশট দেখুন আমার কোডটি এই ওয়েবসাইটে পারফেক্ট ভাবে কাজ করছে।

আশা করি আমি আপনাদের সুন্দর এবং সহজ ভাবে বুঝাতে সক্ষম হয়েছি।

ভালো থাকুন সুস্থ থাকুন প্রিয় মানুষকে ভালো রাখুন সবসময় পজিটিভ থাকুন সকল সময় মোটিভেট থাকুন; ধন্যবাদ।

Leave a Reply