এক্সএসএস দূর্বলতার সুযোগ নিয়ে কুকি হাইজ্যাক করে কীভাবে ওয়েবসাইট হ্যাক করবেন দেখুন।

প্রিয় আমারটিপ্সর ব্যবহারকারী এবং ভিজিটর,
আশা করছি বর্তমান পরিস্থিতির সাথে নিজেকে মানিয়ে নিয়ে মায়াবী পৃথিবীর অপরূপ সুন্দরতা উপভোগ করছেন।
আজকের টিউটোরিয়ালে আমি আপনাদের সাথে যেটা শেয়ার করবো সেই বিষয়টা হলো

“এক্সএসএস দূর্বলতার সুযোগ নিয়ে কুকি হাইজ্যাক করে কীভাবে একটা ওয়েবসাইটকে হ্যাক করবেন এই বিষয় আজকের টিউটোরিয়াল আমার”

এক্সএসএসের মানে হলো ক্রোস সাইট স্ক্রিপ্টিং, কোনো কোড শুরু করলে তার শেষ সীমানা নির্দেশ করতে হয়। যদি কোনো অদক্ষ ডেভেলপার কোনো ওয়েব অ্যাপলিকেশনে কোডকে সমাপ্ত না করে তাহলে এক্সএসএস দূর্বলতার জন্ম হয় আমি এক্সএসএস নিয়ে বিস্তারিত বলেছি দেখে নিন এক্সএসএস দূর্বলতা কী, এবং জনপ্রিয় সিএমএস ওয়ার্ডপ্রেসেও এই এক্সএসএস দূর্বলতা পাওয়া গিয়েছে টিউটোরিয়ালে; যারা আমার টিউটোরিয়ালটি দেখেননি তারা অবশ্যই দেখে নিবেন এতে করে আপনারা এক্সএসএসের বিষয় বিস্তারিত আরও ভালো করে এবং পরিষ্কার ভাবে বুঝতে সক্ষম হবেন।

আমি আমার সার্ভারে একটা ওয়েব অ্যাপলিকেশনকে ইন্সটল করে নিয়েছি এবং যেখানে এক্সএসএস দূর্বলতা রয়েছে আর মূলত এই ওয়েব অ্যাপলিকেশন বানানোর কারণ হলো জানো এইখানে আক্রমণ গুলো পরিক্ষা করা যায়। আমি আমার সার্ভারে থাকা ওয়েব অ্যাপলিকেশনে যে এক্সএসএস দূর্বলতা আছে ওটার সুযোগ নিয়ে আমি কুকি হাইজ্যাক করবো এডমিনিস্ট্রেটর একাউন্টের এবং ওয়েবসাইটটি হ্যাক করে আপনাদের দেখাবো।

কুকি হলো আপনার লগইন আইডেন্টিটি হিসাবে কাজ করে যা খুবই গুরুত্বপূর্ণ ভুমিকা পালন করে থাকে। বিভিন্ন ওয়েবসাইটে হয়তো দেখে থাকবেন প্রবেশ করলে বলে যে এই ওয়েবসাইট আপনার ওয়েব ব্রাউজারে কুকি লোড করে দিবে যাতে করে আপনি এই ওয়েবসাইট আরও সুন্দর ভাবে এবং তাড়াতাড়ি ব্যবহার করতে পারেন।

আপনার ওয়েব ব্রাউজারে যখন কোনো ওয়েবসাইটের কুকি জমা করা থাকবে তখন ওই ওয়েবসাইটে গেলে আপনি আরও ফাস্ট ভিজিট করতে পারবেন; ওয়েবসাইটের এডমিনিস্ট্রেটর এই কুকি দিয়ে এটাও জানতে পারে আপনার প্রয়োজন ওই ওয়েবসাইটে মনে করুন আপনি একটা ল্যাপটপ কিনবেন আপনি ওই ওয়েবসাইটে ল্যাপটপ খুঁজলেন কিছু সময় পর আবারও ওই ওয়েবসাইটে গেলে আপনি ল্যাপটপ রিলেটেড আরও কনটেন্ট দেখতে পাবেন।

এবার আসি এটার ক্ষতিকর দিক নিয়ে। একটা ওয়েবসাইটে আপনি যখন লগইন করেন তখন ওই ওয়েবসাইট একটা কুকি জেনারেট করে আপনার ওয়েব ব্রাউজারে প্রদান করে। এই কুকি যদি কোনো হ্যাকার হ্যাক করতে পারে তাহলে আপনার একাউন্টের ইউজার নাম অথবা ইমেইল এবং পাসওয়ার্ড ছাড়াই আপনার একাউন্ট অ্যাক্সেস করতে পারবে। আর কুকিটা যদি এডমিনিস্ট্রেটর একাউন্টের হয়ে থাকে তাহলে তো ওই ওয়েবসাইট ইনস্ট্যান্ট হ্যাক।

স্ক্রিনশট দেখুন, আমি এই এক্সএসএস দূর্বল ওয়েবসাইটে একটা জাভাস্ক্রিপ্ট কোড সাবমিট করবো।

কোডটিও আমি আপনাদের দেখাচ্ছি।

এখন দেখুন আমার বর্তমান লগইন কুকিটি ডিসপ্লে করছে; আমি নিরাপত্তার কথা বিবেচনা করে আমার লগইন কুকিটি লুকিয়ে দিলাম।

এখন আমি পিএইচপির একটা ফাইল তৈরি করে নিচ্ছি আমার সার্ভারে এবং এটার নাম দিচ্ছি hackprogrambyr1d3x0r.php

এখন এই hackprogrambyr1d3x0r.php ফাইলে আমি পিএইচপি দিয়ে একটা কোড লিখছি সেখানে বলা আছে cookiehackbyr1d3x0r.txt নামে একটা ফাইল ক্রিয়েট হয়ে যাক এবং ওই ফাইলে কুকিকে স্টোর করে ফাইলটি ক্লোজ হয়ে যাক এবং তারপর Thank you for your support লেখাটি ডিসপ্লে করুক।

এখন আমি ওই ইনপুট করার জায়গাতে চলে যাচ্ছি এবং আমি একটা জাভাস্ক্রিপ্ট কোডটি রান করবো, সেটাও আমি দেখাচ্ছি।

এখন আমি আমার কোড এডিটর থেকে কোডটি পেস্ট করে সাবমিট বাটনে ক্লিক করছি।

এখন দেখুন যেমনটা আমি আপনাদের বলেছিলাম যে কুকিকে স্টোর অথবা হাইজ্যাক করে ফাইলটি ক্লোজ হয়ে যাক এবং তারপর Thank you for your support লেখাটি ডিসপ্লে করুক আর ঠিক তেমনটাই করছে।

এটাও দেখুন এতোক্ষণ কিন্তু আমার সার্ভারে cookiehackbyr1d3x0r.txt নামে কোনো টেক্সট ফাইল ছিলো না, কিন্তু এখন অটোমেটিক ক্রিয়েট হয়ে গিয়েছে।

এখন আমি যদি cookiehackbyr1d3x0r.txt টেক্সট ফাইলটি ওপেন করি তাহলে দেখবো কুকিটি হাইজ্যাক হয়ে আমার সার্ভারে চলে এসেছে।

এখন দেখে নিন আমি কিন্তু টার্গেট ওয়েবসাইটের এডমিনিস্ট্রেটর একাউন্টের কুকিটা হাইজ্যাক করেছি।

এতোক্ষণ আমি এই কুকি হাইজ্যাক করলাম মজিলা ফাইয়ারফক্স থেকে এখন আমি ক্রোম ব্রাউজারে চলে যাবো এবং ওই ওয়েবসাইটি ওপেন করছি, দেখুন এইখানে আমার কাছে ওই ওয়েবসাইটে লগইন করা নেয় এবং কোনো এডমিনিস্ট্রেটর একাউন্টের ইমেইল অথবা ইউজার নেম আর পাসওয়ার্ড আমাদের কাছে নেয় তবে হ্যাঁ আমরা এডমিনিস্ট্রেটর একাউন্টের কুকি হাইজ্যাক করেছি আমাদের কাছে কুকি আছে।

এখন আমরা কুকিটা ইনজেক্ট করার জন্য ইন্সপেক্টে ক্লিক করবো।

এখন অ্যাপলিকেশন অপশনে চলে যাবো।

এখন আমি কুকিটি পেস্ট করে দিলাম এবং নিরাপত্তার জন্য আমি কুকিটি লুকিয়ে রাখলাম।

এখন আমি ইউআরএল থেকে login.php কেটে দিয়ে ওয়েবসাইটি রিফ্রেশ করলাম, দেখুন আমি লগইন হয়ে গেছি আমার টার্গেট ওয়েবসাইটে।

আর এটাও দেখে নিন আমি কিন্তু, এখন এডমিনিস্ট্রেটর একাউন্টে লগইন হয়ে গেছি। আমি চাইলে এখন এই ওয়েবসাইটের যা ইচ্ছা তাই করতে পারী শেল আপলোড অথবা ডিফেস বা কোনো ডাটা মুছে ফেলা বা বদলিয়ে দেওয়া ইত্যাদি।

এক্সএসএস এমনই বিপদজনক একটা আক্রমণ, যা দিয়ে একটা ওয়েবসাইটকে হ্যাক করে নেওয়া যায়।

সর্তকতাঃ আমি শুধুমাত্র শিক্ষার উদ্দেশ্যে এই টিউটোরিয়াল তৈরি করেছি, এবং আমি কোনো বেআইনি কাজ করিনি অর্থাৎ কারো ওয়েবসাইট হ্যাক করিনি। আমার সার্ভারে আমি নিজেই একটা ওয়েব অ্যাপলিকেশন রান করিয়ে ওটা হ্যাক করে আপনাদের দেখিয়েছি। সাইট এডমিনিস্ট্রেটরের পারমিশন ছাড়া কোনো ওয়েবসাইট হ্যাক করা বেআইনি, যে করবেন সে নিজ দায়িত্ব নিয়ে বিবেচনা করে এই অসৎ কর্মতে লিপ্ত হবে আর এটার জন্য r1d3x0r এবং আমারটিপ্সদায়ী থাকবে না।

আশা করি আমি আপনাদের সুন্দর এবং সহজ ভাবে বুঝাতে সক্ষম হয়েছি।

ভালো থাকুন সুস্থ থাকুন প্রিয় মানুষকে ভালো রাখুন সবসময় পজিটিভ থাকুন সকল সময় মোটিভেট থাকুন; ধন্যবাদ।

Leave a Reply