Skip to main content

Session Hijacking cyber secuirity

আসুন জেনে নেই- ৪
(Session Hijacking)
নো-রিডাইরেক্ট কি ও নো-রিডাইরেক্ট নিয়ে আলোচনা!!
প্রথম কথায় নো-রিডাইরেক্ট হলো সাইটের একটা বাগ।
বিষয়টা বোঝার আগে একটি ওয়েভ সাইটের ষ্ট্রাকচার জানা থাকলে বিষয়টি ভালো ভাবে বোঝা যাবে।
একটি ওয়েভ সাইটে প্রাথমিকভাবে ২টি বিষয় আছে,
একটি হলো ফ্রন্ট ইন্ড-
মানে আমারা যা দেখি, এই ফ্রন্ট-ইন্ডটি হলো সাধারন উইজার এর জন্য। যেমন: ইনডেক্স পেইজ বা হোম পেইজ https://arenawebsecurity.net/index.php
(যদি কেউ ব্রাউজারে arenawebsecurity.net টাইপ করে এন্টার করেন তাহলে মূলত https://arenawebsecurity.net/index.php পেইজটি ওপেন হয়। আপনারা সাইটটি তে গেলে যা দেখছেন তা আসলে index.php ফাইল। ) আবার সাইটিতে গেলে সেখানে বিভিন্ন সাবমেনু বা সাব কনটেন্টে যাওয়ার অপশন থাকে, যেমন চিত্র-২ এ দেখুন- HOME, ABOUT US, COURSE, BLOG, SERVICE,FAQ, CONTACT US etc..
এর মধ্যে যেমন - ABOUT US এ ক্লিক করলে (https://arenawebsecurity.net/about.php) পেইজে বা CONTACT US এ ক্লিক করলে (https://arenawebsecurity.net/contact.php) পেইজে নিয়ে নিয়ে যায় আবার হোম এ ক্লিক করলে ইনডেক্স পেইজে নিয়ে আসে। COURSE এ ক্লিক করলে সাবমেনু দেখায়।
এবার বলি ২য়টি (ব্যাক ইন্ড)
২য়টি হলো এডমিনিষ্টিটিভ কাজের জন্য এবং এই পার্টটি মূলতঃ এডমিন প্যানেল মেম্বারদের জন্য। সাধারন ইউজাররা এই সব ওয়েব লিংক গুলো দেখতে পাননা (সাধারণত ওয়েভ সাইটের কোথাও এডমিন মেম্বারদের লগ-ইন পেইজের মেনু বা লিংক ও দেয়া থাকে না।)
মনে করুন, এরিনা ওয়েভ সাইটের এডমিন প্যানেলে ৪ জন প্যনেল ইউজার আছে। তার মধ্যে একজন ইউজার( ahaque) সাইটের লগ-ইন করার পর সে শুধু লেটষ্ট ‍নিউজ সহ কিছু ইনফরমেশন আপডেট করার প্রিভিলাইজ আছে। তাহলে কেমন হতে পারে তার ডেসবোর্ড বা কর্য ক্রমের অপশন -
https://arenawebsecurity.net/admin/editnews.php
https://arenawebsecurity.net/admin/editfaq.php
তাহলে ahaque ইউজারের উপরের ২টি লিংক এ এক্সেস আছে যা দিয়ে সে লেটেষ্ট নিউজ এর frequently asked questions (FAQ‍) এর ডেটা পরিবর্তন করতে পারেন।
আবার ইউজার arena সে সুপার এডমিন, সে সাইটে ছবি সহ বিভিন্ন কনটেন্ট আপলোড করতে পারেন। যেমন:
https://arenawebsecurity.net/admin/slider/editslider.php
https://arenawebsecurity.net/admin/gallery/editgallery.php
এটাই হলো সংক্ষিপ্ত ওয়েভ সাইটের ষ্ট্রাকচার।
(ওয়েভ সাইটের ষ্ট্রাকচার নিয়ে ভবিষৎতে আরো আপডেট করবো ইনশাআল্লাহ্)
সাইটের ষ্ট্রকচার থেকে ২টি বিষয় বুজলাম-
ক) ওয়েব সাইটে যে কনটেন্ট গুলো দেখা যায় সেগুলো যেমন লিংক(https://arenawebsecurity.net/contact.php) তেমনি এডমিনদের জন্য ও লিংক আছে(https://arenawebsecurity.net/admin/slider/editslider.php) যে সব লিংক দিয়ে সাইটের কনটেন্ট ম্যানেজ করার।
খ) এডমিন লিংকগুলো হিডেন থাকে, সাধারন উইজার রা দেখকে পান না।
‍আর সেই কারনে হ্যাকাররা চায় যে কোন সাইটের এডমিন এক্সেস নেয়ার জন্য। এডমিন এক্সেস পেলে সে সাইটের কনটেন্ট পরিবর্তন- পরিমার্জন করার ‍লিংকগুলো পাবে।
এখন আসি নো-রিডাইরেক্ট বিষয়টা নিয়ে-
মনে করুন আমরা কোন ভাবে গেজ(ধারনা করলাম) করলাম বা শিউরই হলাম যে সাইটে editslider.php বা editproduct.php নামক ফাইল আছে।
মানে এই রকমঃ https://arenawebsecurity.net/admin/slider/editslider.php বা
http://xyz.net/admin/editproduct.php
এখন যদি লিংকটি ওয়েভ ব্রাউজারে লিখে এন্টার করি http://xyz.net/admin/editproduct.php দেখা যাচ্ছে যে এই লিংকটি সরে গিয়ে ব্রাউজারে শো করছে http://xyz.net/admin/login.php বা http://xyz.net/admin/index.php
আমি কোন লিংকে ব্রাউস করতে চেয়েছিলাম ?
http://xyz.net/admin/editproduct.php এইটা।
কি হলো?
ঐ লিংক রি-ডাইরেক্ট হয়ে চলে আসলো http://xyz.net/admin/index.php
আমি চেয়েছিলাম একটি লিংক ব্রাউস করতে কিন্তু সাইট আমাকে রি-ডাইরেক্ট করে অন্য লিংকে নিয়ে গেল, এখন কোন ভাবে যদি আমি এই রি-ডাইরেক্ট প্রসেসটাকে অফ করে দিতে পারি তাহলে কি হবে?
আমি আমার কাংঙ্খিত লিংকে ব্রাউজ করতে পারবো।
সেজন্য আমরা ফায়ার ফক্সের বা সাইবার ফক্সের নো-রিডাইরেক্ট এড-অন্স টি ব্যবাহার করবো।
আচ্ছা এই সব সাইট কিভাবে খুঁজে পাব?
খোঁজার জন্য আমাদের গুগলের সহায়তা নিতে হবে, মানে গুগল ডর্ক(গুগল ডর্ক নিয়ে আগে কয়েটি পোষ্ট গ্রুপে আছে, দেখে নিতে পারেন , এছাড়াও এর পরের পোষ্টেও ডর্ক দেবার ট্রাই করবো।)
=> আমাদের এমন সাইটগুলো খুঁজে বের করতে হবে যে সকল সাইটের ইউআর এল এ admin বা administrator আছে,
তারপর যে কোন পিইএইপি ফাইল আছে (সাথে সাইট দিয়ে আরো কাষ্টম করে নিতে পারেন)
যেমনঃ intitle:"index" of "admin" site:.in
inurl: admin/login.php site:.in
শুরুতেই বলেছি এটা একটা বাগ, বাগ ফিক্স ও হয়ে যেতে পারে, বুঝবো কেমনে যে সাইটটিতে নো-রিডাইরেক্ট বাগ টি ফিক্স হয়েছে কিনা?
এই বাগ কে কাজে লাগিয়ে সাইটের এডমিন এক্সেস নেয়া যায়। একটি সাইটে একাধিক লিংক ওপেন থাকতে পারে, কিন্তু সবগুলো লিংকই যে নো-রিডাইক্টে এড-অনসে কাজ করবে তা কিন্তু নয়। সাইটের এডমিন বা ডেভেলাপার যখন দেখে কোন লিংকে এই বাগ রয়ে গেছে বা ঐ লিংক দিয়ে হ্যাকার রা এক্সেস নিয়ে সাইট দখল করেছে তখন তা ফিক্স করে নেয়।
ফিক্স করা লিংক গুলো তে নো-রিডাইরেক্ট ব্যবহার করলে সাদা স্ক্রিণ আসে।
তখন আপনাকে দেখতে হবে ঐ সাইটে আর অন্য কোন লিংক ওপেন আছে কিনা, সেগুলোতে ট্রাই করতে হবে। আর যদি ঐ সাইটের সব লিংক ই সেইম সাদা স্ক্রিণ আসে, তাহলে ঐ সাইট ফিক্স করা হয়ে গেছে, অন্য সাইট এ ট্রাই করতে হবে।
ধন্যবাদ।
Labels:

Comments

Post a Comment

Popular posts from this blog

Auto Paragraph

Auto paragraph Facebook/Computer/Mobile phone/Internet/Television  ( এই গুলার যে কোন একটা ..........  দেওয়া জায়গা গুলাতে বসাতে হবে ) ..............is one of the greatest invention of modern science. It has made our life easy and comfortable. We use it in our daily life. We cannot think of our day without.......... . We can communicate with anyone of anywhere of the world by using.......... . It has made the word smaller. We can share our feelings, liking and disliking’s with others using............. . Nowadays.........  has become a great medium of learning. People  can learn many things using........   sitting at home. It is a great source of entertainment also. We can watch videos music news sports etc through..........  .we need not to go to stadium. Inspire of having so many good sides it has some bad sides also. It is harmful for our body. Sometimes students become addicted to it. At last it can be said that..........  is a ...
Post a Comment
Read more

Books poem analysis with bangla

Books poem in bangla and with analysis Verse-wise Bangla Translation: What worlds of wonder are our books! As one opens them and looks, New ideas and people rise In our fancies and our eyes. আমাদের বইগুলো কী আশ্চর্য এক জগৎ! যখনই কেউ তা খুলে দেখে, নতুন ভাবনা আর নতুন মানুষ জেগে ওঠে কল্পনায় ও চোখের সামনে। The room we sit in melts away, And we find ourselves at play With some one who, before the end, May become our chosen friend. আমরা যে ঘরে বসে আছি, তা যেন মিলিয়ে যায়, আর আমরা আবিষ্কার করি নিজেদের খেলায় মত্ত কাউকে সঙ্গে নিয়ে, যে হয়তো শেষ পর্যন্ত আমাদের প্রিয় বন্ধু হয়ে উঠবে। Or we sail along the page To some other land or age. Here's our body in the chair, But our mind is over there. অথবা আমরা পৃষ্ঠার ওপর দিয়ে ভাসতে থাকি অন্য কোনো দেশ বা কালের দিকে। আমাদের শরীরটা রয়েছে চেয়ারে, কিন্তু মন চলে গেছে দূরে অন্য কোথাও। Each book is a magic box Which with a touch a child unlocks. In between their outside covers Books hold all things for their lovers. প্রতিটি বই একেকটি জাদুর বাক্স, যা শিশুরা এক ...
Post a Comment
Read more

🚀 ৫০টি দরকারি কিবোর্ড শর্টকাট (Windows)(বাংলা ব্যাখ্যাসহ)

🚀 ৫০টি দরকারি কিবোর্ড শর্টকাট (Windows) (বাংলা ব্যাখ্যাসহ) (অজানা কিন্তু খুবই কাজে লাগে) ⸻ ১. Ctrl + N → নতুন ফাইল বা ডকুমেন্ট খুলবে (Word, Notepad, Browser ইত্যাদিতে)। ২. Ctrl + Shift + T → আগে বন্ধ হয়ে যাওয়া ব্রাউজার ট্যাব পুনরায় খুলবে। ৩. Ctrl + Shift + Left/Right Arrow → একসাথে পুরো শব্দ নির্বাচন করা যাবে। ৪. Alt + F4 → অ্যাপ বা উইন্ডো বন্ধ হবে। ৫. Ctrl + P → প্রিন্ট ডায়ালগ বক্স খুলবে (প্রিন্ট করার জন্য)। ⸻ ৬. Ctrl + A → সব ফাইল বা টেক্সট সিলেক্ট হবে। ৭. Ctrl + C → কপি করা যাবে। ৮. Ctrl + V → পেস্ট করা যাবে। ৯. Ctrl + X → কাট করা যাবে। ১০. Ctrl + Z → সর্বশেষ কাজ Undo হবে। ⸻ ১১. Ctrl + Y → Undo করা কাজ Redo হবে। ১২. Windows Key + E → File Explorer খুলবে। ১৩. Windows Key + D → ডেস্কটপ দেখাবে (সব মিনিমাইজ হবে)। ১৪. Ctrl + Shift + Esc → সরাসরি Task Manager খুলবে। ১৫. Windows Key + L → কম্পিউটার লক হবে। ⸻ ১৬. Windows Key + S → সার্চ অপশন চালু হবে। ১৭. Windows Key + R → Run কমান্ড চালু হবে। ১৮. F5 → রিফ্রেশ করবে। ১৯. Alt + Enter → Properties খুলবে। ২০. Ctrl + T → ব্রাউজারে নতুন ট্যাব খু...
Post a Comment
Read more