তবু মনে রেখো

তবু মনে রেখো

___ রবীন্দ্রনাথ ঠাকুর

তবু মনে রেখো যদি দূরে যাই চলে।

যদি পুরাতন প্রেম ঢাকা পড়ে যায় নবপ্রেমজালে।

যদি থাকি কাছাকাছি,

দেখিতে না পাও ছায়ার মতন আছি না আছি–

তবু মনে রেখো।

যদি জল আসে আঁখিপাতে,

এক দিন যদি খেলা থেমে যায় মধুরাতে,

তবু মনে রেখো।

এক দিন যদি বাধা পড়ে কাজে শারদ প্রাতে– মনে রেখো।

যদি পড়িয়া মনে

ছলোছলো জল নাই দেখা দেয় নয়নকোণে–

তবু মনে রেখো।

#collected

এসকিউএল ইনজেকশন অ্যাটাক

এসকিউএল ইনজেকশন অ্যাটাট কি? October 5, 2024 by Mahmudul Table of Contents SQL ইনজেকশন কী? SQL ইনজেকশন কীভাবে কাজ করে? যুক্তরাষ্ট্র ভারত চীন ব্রাজিল SQL ইনজেকশন আক্রমণ প্রতিরোধ : এসকিউএল ইনজেকশন সচেতনতা: FAQ (Frequently Asked Questions) ১. এসকিউএল ইনজেকশন অ্যাটাক কী? ২. এসকিউএল ইনজেকশন অ্যাটাক কিভাবে সংঘটিত হয়? ৩. এসকিউএল ইনজেকশন অ্যাটাকের পরিণতি কী? ৪. এসকিউএল ইনজেকশন অ্যাটাক থেকে কিভাবে রক্ষা পাবেন? ৫. এসকিউএল ইনজেকশন অ্যাটাক সম্পর্কে আরও তথ্য কোথায় পাওয়া যাবে? অবশ্যই দেখুন! এসকিউএল ইনজেকশন অ্যাটাট কি? ডিজিটাল যুগে, ডেটাবেসগুলি অনেক অ্যাপ্লিকেশন এবং ওয়েবসাইটের মূল অংশ হিসেবে কাজ করছে, যা ব্যবহারকারী তথ্য থেকে লেনদেনের রেকর্ড পরিচালনা করছে। যেহেতু প্রতিষ্ঠানগুলি ডেটাবেসগুলির উপর নির্ভরশীল হয়ে উঠছে, সেহেতু সাইবার আক্রমণের ঝুঁকিও বাড়ছে। সাইবার হামলার মধ্যে সবচেয়ে কুখ্যাত এবং ক্ষতিকর ফর্ম হল SQL ইনজেকশন আক্রমণ (SQLi)। এই নিবন্ধটি SQL ইনজেকশন আক্রমণগুলি, তাদের মেকানিক্স, সম্ভাব্য প্রভাব এবং প্রতিরোধের জন্য ব্যাপক কৌশলগুলি বিশ্লেষণ করে। SQL ইনজেকশন কী? SQL ইনজেকশন হল একটি সাইবার আক্রমণ যেখানে একজন আক্রমণকারী একটি অ্যাপ্লিকেশনের সফ্টওয়্যার দুর্বলতাগুলি কাজে লাগিয়ে স্ট্রাকচারড কোয়েরি ল্যাঙ্গুয়েজ (SQL) কোয়েরিগুলি ব্যবহার করে। SQL হল একটি মানক প্রোগ্রামিং ভাষা যা সম্পর্কিত ডেটাবেস পরিচালনা এবং প্রক্রিয়া করতে ব্যবহৃত হয়। যখন একটি অ্যাপ্লিকেশন ব্যবহারকারীর ইনপুটকে সঠিকভাবে যাচাই বা স্যানিটাইজ করতে ব্যর্থ হয়, তখন এটি অজান্তেই ক্ষতিকারক SQL কমান্ড চালানোর অনুমতি দিতে পারে। মূলত, SQL ইনজেকশন খারাপভাবে লেখা SQL কোয়েরিগুলির সুযোগ নেয় যা ব্যবহারকারীর ইনপুটকে যথাযথভাবে পরিচালনা করার অনুমতি দেয়। এই ধরনের আক্রমণ সংবেদনশীল তথ্য যেমন ব্যবহারকারীর পরিচয়পত্র, ব্যক্তিগত ডেটা এবং আর্থিক বিবরণে অননুমোদিত অ্যাক্সেসের দিকে নিয়ে যেতে পারে। এর ফলে, SQL ইনজেকশন শুধুমাত্র একটি প্রযুক্তিগত ত্রুটি নয় বরং তথ্যের অখণ্ডতা এবং নিরাপত্তার জন্য একটি গুরুতর হুমকি। SQL ইনজেকশন কীভাবে কাজ করে? SQL ইনজেকশন এর প্রক্রিয়া কয়েকটি মূল পদক্ষেপে বিভক্ত করা যেতে পারে: ব্যবহারকারী ইনপুট দুর্বলতা: প্রক্রিয়াটি সাধারণত তখন শুরু হয় যখন একটি ওয়েব অ্যাপ্লিকেশন ব্যবহারকারী ইনপুট গ্রহণ করে, যেমন লগইন ফর্ম বা অনুসন্ধান বাক্স, যথাযথভাবে যাচাই বা স্যানিটাইজ না করে। উদাহরণস্বরূপ, যখন একটি অ্যাপ্লিকেশন ব্যবহারকারীদের তাদের ব্যবহারকারীর নাম বা পাসওয়ার্ড সরাসরি একটি কোয়েরিতে প্রবেশ করার অনুমতি দেয়, তখন এটি একটি দুর্বলতা তৈরি করে। SQL কোয়েরি পরিবর্তন: একজন আক্রমণকারী স্ট্যান্ডার্ড ডেটার পরিবর্তে বিশেষভাবে নির্মিত SQL কোড ইনপুট করতে পারেন। উদাহরণস্বরূপ, যদি একটি লগইন ফর্ম ব্যবহারকারীর নাম প্রত্যাশা করে, তাহলে একজন আক্রমণকারী একটি স্ট্রিং ইনপুট করতে পারেন যাতে SQL কমান্ড রয়েছে যা উদ্দেশ্যগত কোয়েরিকে পরিবর্তন করতে ডিজাইন করা হয়েছে। ক্ষতিকারক কমান্ডের কার্যকরীতা: যদি অ্যাপ্লিকেশন এই অ fil্টার করা ইনপুট ব্যবহার করে SQL কোয়েরি তৈরি করে, তবে ডেটাবেস এই ক্ষতিকারক কমান্ডগুলি কার্যকর করবে। এই কার্যকরীতা আক্রমণকারীকে ডেটা পরিবর্তন, সংবেদনশীল তথ্য বের করা বা এমনকি ডেটাবেসের সম্পূর্ণ নিয়ন্ত্রণ নেওয়ার অনুমতি দিতে পারে। SQL ইনজেকশন আক্রমণের সম্ভাব্য প্রভাব SQL ইনজেকশন আক্রমণের সম্ভাব্য ফলাফলগুলি প্রতিষ্ঠানের জন্য মারাত্মক হতে পারে, যার মধ্যে রয়েছে: ডেটা লঙ্ঘন: আক্রমণকারীরা ব্যক্তিগত তথ্য, আর্থিক বিবরণ এবং বাণিজ্য গোপনীয়তা সহ সংবেদনশীল তথ্য বের করতে পারে। এই লঙ্ঘন শুধুমাত্র ব্যবহারকারীর গোপনীয়তার ক্ষতি করে না, বরং প্রতিষ্ঠানের জন্য আইনগত পরিণতির দিকে নিয়ে যেতে পারে। ডেটা পরিবর্তন: আক্রমণকারীরা গুরুত্বপূর্ণ ডেটা পরিবর্তন বা মুছে ফেলতে পারে, যার ফলে ভুল তথ্য, অপারেশনাল বিভ্রান্তি এবং সম্ভাব্য বিপর্যয়কর ফলাফল হতে পারে, বিশেষ করে ব্যবসায়ের জন্য যেগুলি সঠিক তথ্যের উপর নির্ভরশীল। আর্থিক ক্ষতি: প্রতিষ্ঠানগুলি প্রতিকারমূলক খরচ, আইনগত ফি এবং তথ্য লঙ্ঘনের কারণে হওয়া জরিমানা সহ উল্লেখযোগ্য আর্থিক ক্ষতির সম্মুখীন হতে পারে। পুনরুদ্ধারের এবং আইনগত পরিণতির সাথে যুক্ত খরচগুলি প্রচুর হতে পারে। খ্যাতির ক্ষতি: একটি সফল SQL ইনজেকশন আক্রমণ গ্রাহক বিশ্বাসকে ক্ষতিগ্রস্ত করতে পারে এবং একটি প্রতিষ্ঠানের খ্যাতি নষ্ট করতে পারে। একবার একটি কোম্পানি নিরাপত্তা ত্রুটির জন্য পরিচিত হলে, গ্রাহকের আস্থা পুনরুদ্ধার করা একটি দীর্ঘ এবং কঠিন প্রক্রিয়া হতে পারে। সেবা ব্যাঘাত: SQL ইনজেকশন ডিনায়াল অফ সার্ভিস (DoS) আক্রমণগুলি সক্ষম করতে পারে, যা সেবা এবং অ্যাপ্লিকেশনগুলির প্রবেশে ব্যাঘাত ঘটায়, যা অপারেশনাল সমস্যাগুলি বাড়িয়ে তোলে। এসকিউএল ইনজেকশন আক্রমণের বিশ্বব্যাপী দৃশ্যপট : এসকিউএল ইনজেকশন (SQLi) বিশ্বের ওয়েব অ্যাপ্লিকেশনগুলিকে প্রভাবিতকারী সবচেয়ে সাধারণ এবং বিপজ্জনক নিরাপত্তা দুর্বলতার মধ্যে একটি। এই আক্রমণ পদ্ধতিটি সাইবার অপরাধীদের জন্য ক্ষতিকর ইনপুট ক্ষেত্রের মাধ্যমে ব্যাকএন্ড ডেটাবেসগুলি নিয়ন্ত্রণ করতে দেয়, যা অ unauthorized থিত্রীকরণ, তথ্য লঙ্ঘন এবং অন্যান্য ম্যালিশিয়াস কার্যকলাপের দিকে নিয়ে যায়। একটি নির্দিষ্ট দেশের এসকিউএল ইনজেকশনের সংখ্যা নির্ধারণ করা চ্যালেঞ্জিং হলেও, কিছু অঞ্চলে ডিজিটাল অবকাঠামোর পরিপক্কতা, সাইবার নিরাপত্তা সচেতনতা এবং অ্যাপ্লিকেশন উন্নয়নের গুণগত মানের কারণে বেশি ঘটনা দেখা যায়। যুক্তরাষ্ট্র যুক্তরাষ্ট্র প্রায়ই সাইবার নিরাপত্তা আলোচনা ও এসকিউএল ইনজেকশন আক্রমণের প্রধান লক্ষ্য হিসেবে পরিচিত। হাজার হাজার কোম্পানি অনলাইনে কাজ করছে এবং বিভিন্ন খাতে বিশাল পরিমাণে সংবেদনশীল তথ্য সংরক্ষিত থাকায়, আক্রমণকারীরা প্রায়ই মার্কিন ভিত্তিক অ্যাপ্লিকেশনগুলির দুর্বলতা কাজে লাগায়। রিপোর্টগুলি দেখায় যে যুক্তরাষ্ট্রে তথ্য লঙ্ঘনের একটি উল্লেখযোগ্য শতাংশ এসকিউএল ইনজেকশনের কারণে ঘটে। উচ্চ ডিজিটাল কার্যকলাপ এবং শিল্পের মধ্যে পরিবর্তিত নিরাপত্তা ব্যবস্থার সমন্বয়ে যুক্তরাষ্ট্রকে এ ধরনের ঘটনার জন্য উর্বর জমিতে পরিণত করেছে। বড় বড় কর্পোরেশন ও সরকারি সংস্থাগুলি এসকিউএল ইনজেকশনের কারণে লঙ্ঘনের শিকার হয়েছে, যা নিরাপত্তা ব্যবস্থার উন্নতির জরুরি প্রয়োজনীয়তা তুলে ধরে। ভারত ভারত আরেকটি দেশ যেখানে এসকিউএল ইনজেকশন আক্রমণ ক্রমবর্ধমানভাবে দেখা যাচ্ছে। দ্রুত বর্ধনশীল প্রযুক্তি কেন্দ্র হিসেবে, ভারতের একটি গতিশীল ডিজিটাল পরিসর রয়েছে যেখানে অনেক স্টার্টআপ এবং প্রতিষ্ঠিত কোম্পানি ওয়েব অ্যাপ্লিকেশন তৈরি করছে। তবে, এই অ্যাপ্লিকেশনগুলির মধ্যে অনেকগুলি যথাযথ নিরাপত্তা প্রোটোকল ছাড়া তৈরি হয়েছে, যা এসকিউএল ইনজেকশনের জন্য তাদের দুর্বল করে তুলেছে। গবেষণায় দেখা গেছে যে ভারতের একটি উল্লেখযোগ্য অংশ ওয়েবসাইট এবং অ্যাপ্লিকেশন এসকিউএল ইনজেকশনের প্রতি সংবেদনশীল, যা গুরুতর তথ্য লঙ্ঘন এবং ব্যবহারকারীর তথ্যের ক্ষতি ঘটাতে পারে। ডিজিটাল অর্থনীতি বাড়ানোর সাথে সাথে শক্তিশালী নিরাপত্তা প্রথার প্রয়োজনীয়তা আরও বেশি জরুরি হয়ে পড়ছে। চীন চীনের দ্রুত ডিজিটাল পরিবর্তনও এসকিউএল ইনজেকশনের ঘটনাগুলির বৃদ্ধিতে অবদান রেখেছে। লক্ষ লক্ষ ওয়েবসাইট এবং বিশাল ব্যবহারকারী ভিত্তি থাকার কারণে, শোষণের সম্ভাবনা প্রচুর। সাইবার অপরাধীরা প্রায়ই চীনা কোম্পানিগুলিকে লক্ষ্যবস্তু করে, বিশেষ করে ই-কমার্স এবং ফিনটেকের মতো সেক্টরে যেখানে বিশাল পরিমাণে সংবেদনশীল তথ্য প্রক্রিয়াকৃত হয়। সরকারের সাইবার নিরাপত্তা উন্নত করার প্রচেষ্টা সত্ত্বেও, অনলাইন কার্যকলাপের বিশাল পরিমাণ এসকিউএল ইনজেকশন এবং অন্যান্য আক্রমণের জন্য অনেক সুযোগ সৃষ্টি করে। ব্রাজিল দক্ষিণ আমেরিকায়, ব্রাজিল এসকিউএল ইনজেকশনের ঘটনাগুলির জন্য একটি উল্লেখযোগ্য দেশ হিসেবে চিহ্নিত হয়েছে। এই অঞ্চলের সবচেয়ে বড় অর্থনীতির মধ্যে একটি হিসেবে, ব্রাজিলে ইন্টারনেট ব্যবহারে এবং অনলাইন বাণিজ্যে একটি বৃদ্ধি দেখা গেছে। দুঃখজনকভাবে, অনেক ব্যবসায়ের কাছে যথেষ্ট সাইবার নিরাপত্তা ব্যবস্থা নেই, যা সাইবার অপরাধীদের জন্য সহজ লক্ষ্য হয়ে দাঁড়িয়েছে। রিপোর্টগুলি ব্রাজিলে সাইবার আক্রমণের বাড়তে থাকা ঘটনা, যার মধ্যে এসকিউএল ইনজেকশন অন্তর্ভুক্ত, স্থানীয় কোম্পানিগুলোর মধ্যে আরও ভাল নিরাপত্তা প্রথার প্রয়োজনীয়তা তুলে ধরছে। SQL ইনজেকশন আক্রমণ প্রতিরোধ : SQL ইনজেকশন আক্রমণ প্রতিরোধের জন্য একটি বহুমুখী পন্থা প্রয়োজন যা বেশ কয়েকটি সেরা অভ্যাস অন্তর্ভুক্ত করে: ইনপুট যাচাই: সবসময় ব্যবহারকারী ইনপুট যাচাই এবং স্যানিটাইজ করুন। এটি প্রত্যাশিত অক্ষর এবং বিন্যাসের অনুমতি দেওয়ার জন্য হোয়াইটলিস্টিং ব্যবহার করে। প্রত্যাশিত অক্ষর বা প্যাটার্নগুলিতে অন্তর্ভুক্ত না থাকা যে কোনও ইনপুট প্রত্যাখ্যান করুন। প্রিপেয়ারড স্টেটমেন্ট এবং প্যারামিটারাইজড কোয়েরি: SQL ইনজেকশন প্রতিরোধের জন্য প্রস্তুত বিবৃতি বা প্যারামিটারাইজড কোয়েরি ব্যবহার করা সবচেয়ে কার্যকর পদ্ধতিগুলির মধ্যে একটি। এই পদ্ধতিগুলি SQL কোড এবং ব্যবহারকারীর ইনপুটকে আলাদা করে, যা আক্রমণকারীদের জন্য ক্ষতিকারক কোড সন্নিবেশ করা অনেক কঠিন করে তোলে। স্টোরড প্রোসিজার: স্টোরড প্রোসিজার ব্যবহার করা ব্যবহারকারীর ইনপুট এবং SQL কমান্ডগুলির মধ্যে অতিরিক্ত স্তরের বিমূর্ততা প্রদান করতে পারে। নির্দিষ্ট কোয়েরি সংজ্ঞায়িত করে যা কেবল কার্যকর করা যেতে পারে, স্টোরড প্রোসিজার SQL ইনজেকশনের ঝুঁকি হ্রাস করে। ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF)**: একটি WAF বাস্তবায়ন SQL ইনজেকশন প্রচেষ্টা সনাক্ত এবং ব্লক করতে সাহায্য করতে পারে এর আগে যে তারা অ্যাপ্লিকেশনে পৌঁছায়। WAF একটি ফিল্টার হিসাবে কাজ করে এবং ইনকামিং ট্রাফিক বিশ্লেষণ করে। নিয়মিত সিকিউরিটি অডিট: নিয়মিত নিরাপত্তা মূল্যায়ন এবং কোড পর্যালোচনা পরিচালনা করুন যাতে দুর্বলতাগুলি সনাক্ত এবং সংশোধন করা যায়। ধারাবাহিক পর্যবেক্ষণ এবং পরীক্ষামূলক কার্যক্রম নিরাপত্তা বজায় রাখতে অপরিহার্য। লিস্ট প্রিভিলেজ প্রিন্সিপাল: ডেটাবেস ব্যবহারকারীর অনুমতিগুলিকে শুধুমাত্র তাদের ভূমিকার জন্য প্রয়োজনীয় স্তরে সীমিত করুন। প্রবেশাধিকার সীমিত করলে আক্রমণের সময় সম্ভাব্য ক্ষতি কমিয়ে আনা সম্ভব। ত্রুটি পরিচালনা: বিস্তারিত ত্রুটি বার্তা প্রকাশ করতে এড়িয়ে চলুন যা আক্রমণকারীদের ডেটাবেসের কাঠামোর সম্পর্কে অন্তর্দৃষ্টি প্রদান করতে পারে। কাস্টমাইজড ত্রুটি বার্তা গুরুত্বপূর্ণ তথ্য গোপন রাখতে সাহায্য করে। মোটরিং এবং লগিং: ডেটাবেস অ্যাক্সেস এবং অপারেশন ট্র্যাক করতে ব্যাপক লগিং এবং মনিটরিং প্রতিষ্ঠা করুন। অস্বাভাবিক কার্যকলাপের জন্য লগগুলি নিয়মিত পর্যালোচনা করা সম্ভবপর আক্রমণ সনাক্ত করতে সাহায্য করে। নিরাপত্তা সরঞ্জাম ব্যবহার করুন: এমন ডেটাবেস নিরাপত্তা সরঞ্জাম ব্যবহার করুন যা দুর্বলতার জন্য স্ক্যান করতে পারে এবং SQL ইনজেকশন বা অন্যান্য আক্রমণের সংকেত মনিটর করতে পারে। স্বয়ংক্রিয় সরঞ্জামগুলি ম্যানুয়াল নিরাপত্তা প্রচেষ্টার কার্যকারিতা বাড়াতে পারে। এসকিউএল ইনজেকশন সচেতনতা: এসকিউএল ইনজেকশনের আমাদের অনুসন্ধানের পরিসমাপ্তিতে, এই আলোচনার মধ্য দিয়ে আমরা যে গুরুত্বপূর্ণ ধারণাগুলি অর্জন করেছি সেগুলো নিয়ে ভাবা জরুরি। এসকিউএল ইনজেকশন শুধুমাত্র একটি প্রযুক্তিগত ত্রুটি নয়; ভালো খবর হলো, এসকিউএল ইনজেকশন প্রতিরোধযোগ্য। আমরা এমন কিছু গুরুত্বপূর্ণ সেরা অভ্যাস নিয়ে আলোচনা করেছি যা এই ধরনের আক্রমণের বিরুদ্ধে প্রতিরোধ গড়ে তুলতে পারে। প্রস্তুতকৃত স্টেটমেন্ট, প্যারামিটারাইজড কুইরি এবং কঠোর ইনপুট যাচাইকরণের মতো কৌশলগুলি ঝুঁকি কমাতে অত্যন্ত গুরুত্বপূর্ণ। নিয়মিত কোড পর্যালোচনা এবং নিরাপত্তা অডিটগুলি দুর্বলতা চিহ্নিত করতে সাহায্য করতে পারে, যা আমাদের অ্যাপ্লিকেশনের নিরাপত্তা বাড়ায়। শিক্ষা এবং সচেতনতা আমাদের এই চলমান যুদ্ধে সবচেয়ে বড় মিত্র। একটি সংস্থার প্রতিটি সদস্য—শুধুমাত্র ডেভেলপার নয়—এসকিউএল ইনজেকশনের সঙ্গে জড়িত ঝুঁকি এবং নিরাপদ কোডিং প্রথার গুরুত্ব বোঝা জরুরি। নিরাপত্তা সচেতনার একটি সংস্কৃতি গড়ে তুললে, আমরা প্রতিটি দলের সদস্যকে সক্রিয় এবং সতর্ক হতে উত্সাহিত করতে পারি। অবশেষে, সাইবার হুমকির দৃশ্যপট ক্রমাগত পরিবর্তিত হচ্ছে। যদিও এসকিউএল ইনজেকশন অনেক দুর্বলতার মধ্যে একটি, এটি অন্যতম সবচেয়ে গুরুত্বপুর্ন । তথ্যের নিরাপত্তার প্রতি সচেতন ও প্রতিশ্রুতিবদ্ধ হয়ে, আমরা আমাদের ঝুঁকি উল্লেখযোগ্যভাবে কমাতে এবং মূল্যবান তথ্য সম্পদের রক্ষা করতে পারি। FAQ (Frequently Asked Questions) ১. এসকিউএল ইনজেকশন অ্যাটাক কী? উত্তর: এসকিউএল ইনজেকশন অ্যাটাক হল একটি সাইবার আক্রমণ, যেখানে আক্রমণকারী একটি অ্যাপ্লিকেশনের দুর্বলতাগুলি কাজে লাগিয়ে ক্ষতিকারক SQL কোড সন্নিবেশ করে। এটি ডেটাবেসের তথ্য চুরি বা পরিবর্তন করতে পারে। ২. এসকিউএল ইনজেকশন অ্যাটাক কিভাবে সংঘটিত হয়? উত্তর: যখন একটি অ্যাপ্লিকেশন ব্যবহারকারীর ইনপুটকে যথাযথভাবে যাচাই করে না, তখন আক্রমণকারী SQL কোড ইনপুট করে যা অ্যাপ্লিকেশনকে অপ্রত্যাশিতভাবে কাজ করতে বাধ্য করে। ৩. এসকিউএল ইনজেকশন অ্যাটাকের পরিণতি কী? উত্তর: এসকিউএল ইনজেকশন অ্যাটাকের ফলে ডেটা লঙ্ঘন, সংবেদনশীল তথ্যের চুরি, আর্থিক ক্ষতি এবং সংস্থার খ্যাতির ক্ষতি হতে পারে। ৪. এসকিউএল ইনজেকশন অ্যাটাক থেকে কিভাবে রক্ষা পাবেন? উত্তর: এসকিউএল ইনজেকশন অ্যাটাক থেকে রক্ষা পেতে ইনপুট যাচাই, প্রস্তুতকৃত বিবৃতি ব্যবহার, এবং নিয়মিত নিরাপত্তা অডিটের মতো কৌশল অবলম্বন করা উচিত। ৫. এসকিউএল ইনজেকশন অ্যাটাক সম্পর্কে আরও তথ্য কোথায় পাওয়া যাবে? উত্তর: এসকিউএল ইনজেকশন অ্যাটাক সম্পর্কে বিস্তারিত জানার জন্য সাইবার নিরাপত্তা বই, অনলাইন কোর্স এবং নিরাপত্তা ফোরামগুলি সহায়ক হতে পারে।

শেক্সপিয়ার এর বানী

আপনার জীবনকে পাল্টে দিতে পারে শেক্সপিয়ারের এমন কিছু উক্তি সমূহ :

 🟢যা তুমি দেখাও, তার চেয়ে বেশি তোমার থাকা উচিত। যা তুমি জান, তার তুলনায় কম কথা বলা উচিত।!

 🟢সততার কাছে দুর্নীতি কোন দিন জয়ী হতে পারে না।

🟢দুটো জিনিস খুবই কষ্টদায়ক। একটি হচ্ছে, যখন তোমার ভালোবাসার মানুষ তোমাকে ভালোবাসে কিন্তু তা তোমাকে বলে না। আর অপরটি হচ্ছে, যখন তোমার ভালোবাসার মানুষ তোমাকে ভালোবাসে না এবং সেটা তোমাকে সরাসরি বলে দেয়।

🟢বিপদের সময়ে যে হাত বাড়িয়ে দেয় সেই সত্যিকারের বন্ধু।

 🟢দু:খ কখনও একা আসে না, যখন আসে তখন তার দলবল নিয়ে-ই আসে।

🟢আমি সবসময় নিজেক সুখী ভাবি, কারণ আমি কখনো কারো কাছে কিছু প্রত্যাশা করি না, কারো কাছে কিছু প্রত্যাশা করাটা সবসময় এই দুঃখের কারণ হয়ে দাড়ায়।

🟢অভাব যখন দরজায় এসে দাঁড়ায়, ভালবাসা তখন জানালা দিয়ে পালায়।

🟢কাউকে সারা জীবন কাছে পেতে চাও। তাহলে প্রেম দিয়ে নয় বন্ধুত্ব দিয়ে আগলে রেখো। কারন, প্রেম একদিন হারিয়ে যাবে কিন্তু বন্ধুত্ব কোনদিন হারায় না।

🟢যে তার ভালবাসা প্রকাশ করতে পারে না, সে ভালোবাসতেই জানে না।

🟢আনন্দ ও কাজ সময়কে সংক্ষিপ্ত করে।

🟢সাফল্যের ৩টি শর্তঃ - অন্যের থেকে বেশী জানুন! - অন্যের থেকে বেশী কাজ করুন! - অন্যের থেকে কম আশা করুন!

🟢তোমার একটু অভিমানের জন্য যদি কারো চোঁখে জল আসে, তবে মনে রেখো, তার চেয়ে বেশি কেউ তোমাকে ভালোবাসে না।

🟢তোমার বন্ধু যখন বিপদে থাকবে, তখন সে না ডাকলেও তাকে সাহায্য কর। কিন্তু, যখন সে খুশিতে থাকবে, তখন সে না ডাকলে যেওনা।

🟢শেক্সপিয়ার কে একজন জিজ্ঞেস করলো "তুমি বিয়ে করেছ তোমার চেয়ে বেশি বয়সের একটি মেয়েকে। তোমার লজ্জা করেনা।" শেক্সপিয়ার তাকে একটি ক্যালেন্ডার এনে দেখালেন আর বললেন "আপনি বলতে পারবেন সপ্তাহের সাতটি দিনের মধ্যে কোনটা যুবক আর কোনটা বৃদ্ধ?" আসলে ভালবাসার কোন বয়স হয়না আপনি যে কাউকেই ভালবাসতে পারেন।

🟢প্রয়োজন খারাপ কেও ভাল করে তোলে।

🟢মহত্ত্বের প্রতীক হচ্ছে ক্ষমাশীলতা।

 🟢জীবন-জীবন মানেই অনিশ্চিত ভ্রমণ।

🟢আমি নষ্ট করেছি সময়, এখন সময় নষ্ট করছে আমায়।

🟢ভীরুরা তাদের প্রকৃত মৃত্যুর আগেই বহুবার মরে, কিন্তু সাহসীরা জীবনে মাত্র একবারই মৃত্যুর স্বাদ গ্রহণ করে থাকে।।🙂

Self Confidence

(Upload vulnerability)আনরেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটি নিয়ে আলোচনা!!

আসুন জেনে নেই- ৫

(Upload vulnerability)

আনরেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটি নিয়ে আলোচনা!!

আপনাদের আজকের ক্লাস টা অনেকের কাছেই একটু কঠিন মনে হতে পারে। তাই চলুন আজকের ক্লাসের টপিকের কনসেপ্ট একটু বোঝার চেষ্টা করি।

মূল আলোচনা: আজকের ক্লাস টপিকের মূল বিষয়বস্তু ছিল ওয়েব শেল পরিচিতি এবং ডিফেস পেজ তৈরী। এখন ওয়েব শেল টা আবার কি? প্রত্যেকটা ওয়েবসাইটের একটি করে সি প্যানেল থাকে, যেখান থেকে ওয়েবসাইটের মালিকরা তাদের ওয়েবসাইটের ফাইল, ফোল্ডার, স্ট্রাকচার, কাঠামোগত দিক সবকিছু নিয়ন্ত্রণ করতে পারে বা তার ইচ্ছা অনুযায়ী মডিফিকেশন করতে পারে। এখন আমরা তো শুধুমাত্র এতদিন পর্যন্ত এডমিন ড্যাশবোর্ড এক্সেস করেছি। যার মাধ্যমে শুধুমাত্র ওয়েবসাইটের নির্দিষ্ট কিছু রোলপ্লে করতে পেরেছি, যা পূর্ব থেকে নির্ধারিত ছিল। এর বাহিরে কোন সুপ্রিম এডমিনের মত করে পুরো সার্ভারের/ওয়েব এপ্লিকেশন সিস্টেম এর সম্পূর্ণ এক্সেস করতে পারিনি। আর এখানেই ওয়েব শেল এর ম্যাজিক! এই পার্টে আমরা ওয়েব শেলের মাধ্যমে একটি ওয়েব এপ্লিকেশন সিস্টেমের পুরো সার্ভার নিয়ন্ত্রণ করতে পারবো।

এখন অনেকের প্রশ্ন থাকতে পারে; আমি কি চাইলেই একটি ওয়েবসাইটে শেল আপলোড করতে পারি? এর উত্তরটা নির্ভর করে ওয়েবসাইটে কি ধরনের দুর্বলতা রয়েছে এবং আমরা সেই দুর্বলতাকে কিভাবে কাজে লাগাতে পারি। আজকে আমরা ক্লাসে দেখলাম আন রেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটির মাধ্যমে শেল আপলোড করা। এর অ্যাডভান্স মেথড সহ আরো বেশ কিছু প্রক্রিয়ার মাধ্যমে শেল আপলোড আমরা পর্যায়ক্রমে ক্লাসে শিখতে এবং জানতে পারবো।

করণীয়: এতদিন পর্যন্ত আপনার নিজের অ্যাক্সেস নেওয়া ওয়েবসাইট গুলোতে এই শেল টি আপলোড করার চেষ্টা করুন। এটি একটি সাধারণ আপলোডার শেল যার কাজ যে কোন ধরনের ফাইল আপলোড করা। যদি আপনার অ্যাক্সেস নেওয়া কোন একটি ওয়েবসাইটের আন রেস্ট্রিক্টেড ফাইল আপলোড ভার্নাবিলিটি থেকে থাকে তাহলে এই ওয়েবশেল খুব সহজেই আপলোড করে ফেলতে পারবেন। আর যদি আপনার এক্সেস নেওয়া ওয়েবসাইটে ফাইলটি আপলোড সাকসেসফুলি না হয় তাহলে সেটি সংরক্ষণে রাখুন। আমরা পরবর্তী ক্লাসে এডভান্স ওয়েবশেল আপলোড এবং বাইপাস টেকনিকগুলো দেখে নিব। আপাতত এতটুকু ট্রাই করুন এবং নিজের হেক্সর নামে খুব সুন্দর একটা ডিফেস পেজ তৈরি করুন। আর কোন কিছু বুঝতে অসুবিধা হলে আমাকে কমেন্টে জানান

ধন্যবাদ। 😀

ও হ্যাঁ আপলোডার শেল লিঙ্ক: https://limewire.com/d/fc234b1c-b11a-4af0-a7c6-65372671c9bc#htwyzvexkZS60O63WcvxsZYnSNstcQA8Pur_sA6MwJ8

mid term exam question of cyber security

Correct answer: 📝

১. কোন পদ্ধতিতে হ্যাকার ওয়েবসাইট অ্যাক্সেস নিতে পারে?

উত্তর: উপরের সবগুলো

২. OSINT কি?

উত্তর: সর্বজনীনভাবে উপলব্ধ উৎস থেকে তথ্য সংগ্রহের একটি পদ্ধতি

৩. হাভিজ কি?

উত্তর: SQL ইনজেকশনের জন্য ব্যবহৃত একটি টুল

৪. হাভিজ ব্যবহার করার উদ্দেশ্য কি?

উত্তর: একটি ওয়েবসাইটের ডাটাবেসে সংরক্ষিত গোপন তথ্য অ্যাক্সেস পেতে

৫. হাভিজ ব্যবহার করে ওয়েবসাইটগুলি কীভাবে SQLi আক্রমণ থেকে নিজেদের রক্ষা করতে পারে?

উত্তর: Input validation and Parameterized queries মতো যথাযথ নিরাপত্তা ব্যবস্থা বাস্তবায়নের মাধ্যমে

6. Find out this target's (professional) email, phone number, and current address via OSINT:

Target: https://www(.)linkedin(.)com/in/carl-abraham-12452b21/ (4 marks)

উত্তর: https://catalog(.)nyit(.)edu/administration_and_faculty/faculty/#

cabrah04@nyit.edu

(870) 680-8827

Wilson Hall, Room: 424C Jonesboro, Arkansas, United States

৭. কোন ধরনের ওয়েব দূর্বলতা সবচেয়ে বিপজ্জনক?

উত্তর: SQL Injection

৮. What is the correct domain of Bangladesh? (4 marks)

উত্তর: All of them

৯. What are the username and password of this website: spacefurniture(.)co(.)in (6 marks)

উত্তর: admin=admin@123

১০. What is the Internal Server Error status code?

উত্তর: 500

১১. inmakeslh(.)in What type of vulnerability exist in this website? (SQL, XSS or No-Redirect) - 4 marks

উত্তর: No-Redirect & SQL Injection Both are correct!

১২. রাজনৈতিক ভঙ্গিতে নজিবুল ইসলাম কোন দলের অনুসারী?

উত্তর: আওয়ামী লীগ (সাবেক সর-কা-রী দল)

১৩. নজিবুল ইসলাম এর বাবার নাম কি? (4 marks)

উত্তর: মোহাম্মদ নুরুল ইসলাম

১৪. সেশন হাইজ্যাকিংয়ের একটি অ্যাডঅন এর নাম লিখুন।

উত্তর: No-Redirect

collected

LFI (local fule inclution এর Dork)

নিচে LFI এর ডার্ক দিয়ে দেয়া হলো...

allinurl:pgg=contact.php

allinurl:page=contact.php

allinurl:home=contact.php

allinurl:?index.php?pagina=contato.php site:br

allinurl:?index.php?pagina=clientes.php site:br

allinurl:?index.php?pagina=produtos.php site:br

allinurl:?index.php?pagina=contato.php

index.php?pagina=home.php

index.php?pagina=empresa.php

index.php?pagina=obras.php

index.php?pagina=localizacao.php

index.php?pagina=contato.php

thumb.php

index.php?pagina=empresa.php

index.php?pagina=produtos.php

index.php?pagina=representantes.php

index.php?pagina=contato.php

index.php?pagina=home.php

index.php?pagina=guia_consumidor.phpa

index.php?pagina=responsabilidade.php

LFI dork collection

inurl:"?page=news.php"

inurl:"index.php?main=*php"

inurl:"index.php?inc=*php"

inurl:"index.php?pg=*php"

inurl:"index.php?include_file=*php"

inurl:"index.php?main=*html"

inurl:"index.php?inc=*html"

inurl:"index.php?pg=*html

inurl:index.php?id=

inurl:index.php?cat=

inurl:index.php?action=

inurl:index.php?content=

inurl:index.php?page=

inurl: .php?page=contact.php site:in/pk/id

collected

Http and Https বিস্তারিত

INFORMATIONAL POST-03

অনেকেই HTTP & HTTPS নিয়ে ঝামেলায় পড়েছেন, একটু সহজ করে দেই বিষয়টা।।

HTTP & HTTPS

কোন ওয়েভসাইট যেমন ধরুন আপনি ইত্তেফাক নিউজ পেপারটি পড়তে চান, তাহলে কি করবেন??

ব্রাইজারে যাবেন তারপর সেখানে ইত্তেফাক নিউজ পেপারের ওয়েবের এড্রেসটি (ittefaq.com.bd )

বা তার আইপি এড্রেসটি দিয়ে এন্টার করলে ইত্তেফাক নিউজপেপারটি পড়তে পারবেন।

তো এই ওয়েব এড্রেসটি দিতে শুরু করতে হয় http দিয়ে। যেমনঃ http://ittefaq.com.bd/

http://www.ittefaq.com.bd/

আর তারপর সাইটের কন্টেন্ট গুলো চলে আসে, আমাদের পিসি বা মোবেইলের ব্রাউজার হলো ক্লাইন্ট, আর ইত্তেফাক ‍নিউজপেপারটি কোন এক সার্ভারে রাখা আছে, সেই সার্ভারে কানেক্ট করে সেই পেইজ বা ফাইল কে রিকোয়েষ্ট করে এবং সেই সার্ভার আপনার ব্রাউজার কে রেসপন্স করে কনটেন্ট গুলো দেখায়। বিষয়টি হলো এমন- আপনি কারো বাসায় একটি পার্সেল পাঠাতে চান, তাহলে কি লাগবে? সেই বাড়ির নাম, সেই বাড়ির নাম্বার, এলাকার নাম, বর্তমান লোকেশন। http হল ওয়েব পেইজের ঠিকানা, রোড নম্বরের মত। পূর্ণ নাম- হাইপার টেক্সট ট্রান্সফার প্রটোকল Hypertext Transfer Protocol (HTTP)। মূলতঃ http একটি অনুরোধ প্রোটোকল যা ক্লায়েন্ট এবং সার্ভারের মধ্যে যোগাযোগের মাধ্যম গঠন করে। আমরা আমাদের পিসি বা মোবাইল থেকে কোন ব্রাউজারে লিখি www.ittefaq.com.bd

Client এর যে File বা লিংক এর দরকার পরে তার রিকোয়েস্ট Server কে পাঠায় এবং সার্ভার সেই ফাইল টি খুঁজে ক্লায়েন্টকে সেন্ড করে ।

সো একটি বিষয় ক্লিয়ার সেটা হলো হলো http একটি প্রটোকল।

দিনে দিনে এই রিকোয়েষ্ট টেকনোলজি, প্রটোকল সবকিছুই অনেক আপডেট হয়েছে। এখন আর এত কিছু লেখার প্রয়োজন হয় না। ব্রাউজারে গিয়ে শুধুমাত্র ওয়েব এড্রেসটি লিখলেই ব্রাউজার সার্ভারের সাথে কানেক্ট হওয়ার প্রটোকল খুঁজে নেয়। তাই ittefaq.com.bd লিখলেই সে বুঝে নেয় এটা হলো http://www.ittefaq.com.bd/

HTTPS:

HTTPS = HTTP + SSL

HTTPS এর পুর্ণরুপ হচ্ছে HyperText Transfer Protocol Secure, মানে হলো HTTP এর সাথে SSL certificates যুক্ত হয়ে ডাটাগুলো এনক্রিপটেড ( Encrypted ) হয়ে পারাপার হয়, ফলে ডাটাগুলো নিরাপদ থাকে ।

ওয়েভ সাইটের সেনসেটিভ ডাটা যেন লীক না হয় সেজন্য ওয়েভ সাইটগুলো সিকিউরিটির জন্য SSL (Secure Sockets Layer) certificates ব্যবহার করে ওয়েভ সার্ভার ও ইউজারের ব্রাউজারের মধ্যে একটি সিকিউর কানেকশন তৈরী করে যাতে এইচ টি টি পি ট্রান্সমিশন এর সময় ডাটা নিরাপদ থাকে।

আর তাই আজকাল অনেক ওয়েব সাইট ই https প্রটোকল ব্যবহার করে থাকে, বিশেষ করে যে সমস্ত ওয়েব সাইট – এ পেমেন্ট সিস্টেম আছে কিংবা বিভিন্ন ব্যাংক গুলো বা গুরুত্বপূর্ন ওয়েভ সাইটগুলো যাদের ডাটা মিস উইস হলে সমস্যা হতে পারে সেসব সাইট ।

https প্রটোকল ব্যবহার করা সাইটগুলোর বামে একটি তালার ছবি থাকে, মানে সিকিউর।

https এ আপনার আর সার্ভারে কানেকশন স্টাবলিশ হওয়ার সাথে সাথে SSL সার্টিফিকেট এক্সচেঞ্জ হয়, এই সার্টিফিকেটে আপনার এবং সার্ভারের "পাবলিক কি" দেয়া থাকে। আপনি যা পাঠাবেন তা সার্ভারের পাবলিক কি দিয়ে এনক্রিপ্টেড হয়ে যাবে, সার্ভার যা ফেরত পাঠাবে তা আপনার পাবলিক কি দিয়ে এনক্রিপ্টেড হয়ে আসবে।

আরো একটু সহজ করে বলি-

http প্রটোকলের মাধ্যমে আপনি আপনার মোবাইল/ পিসির ব্রাউজার থেকে (মানে ক্লাইন্ট ইন্ড এটা) কোন একটি সার্ভারে একটি টেক্সট পাঠালেন যেমন ধরুনঃ ”বন্ধু কেমন আছিস- বল??” এখন আপনার পিসি থেকে ঔ সার্ভার এ যাওয়ার পথে যে কেউ ঐ ডাটা ধরতে পারলে সেও পড়তে পারবে আপনি কি ডাটা পাঠিয়েছেন,, এটাতো ভালো.. এখন যদি ডাটা টা GF বা BF এর কাছে পাঠানো কোন টেক্সট হয়, সেকি এতো ভালো কথা লিখবে??

আচ্ছা যদি https প্রটোকলের মাধ্যমে হতো, তাহলে কি হতো??

তাহলে ক্লাইন্ট থেকে সার্ভারে যে ডাটা যেত সেটা ইনক্রাপ্টেড হয়ে যেত, পথিমধ্যে কেউ পেলেও লাভ নাই, কি সব হিজিবিজি হিজিবিজি হিজিবিজি হিজিবিজি

বাই দ্য ওয়ে- কোন প্রটোকলেই কেউ প্রেমপত্র পাঠায় না, জাষ্ট আপনাদের বোঝানোর জন্য বল্লাম।।

collected