Skip to main content

Session Hijacking cyber secuirity

আসুন জেনে নেই- ৪
(Session Hijacking)
নো-রিডাইরেক্ট কি ও নো-রিডাইরেক্ট নিয়ে আলোচনা!!
প্রথম কথায় নো-রিডাইরেক্ট হলো সাইটের একটা বাগ।
বিষয়টা বোঝার আগে একটি ওয়েভ সাইটের ষ্ট্রাকচার জানা থাকলে বিষয়টি ভালো ভাবে বোঝা যাবে।
একটি ওয়েভ সাইটে প্রাথমিকভাবে ২টি বিষয় আছে,
একটি হলো ফ্রন্ট ইন্ড-
মানে আমারা যা দেখি, এই ফ্রন্ট-ইন্ডটি হলো সাধারন উইজার এর জন্য। যেমন: ইনডেক্স পেইজ বা হোম পেইজ https://arenawebsecurity.net/index.php
(যদি কেউ ব্রাউজারে arenawebsecurity.net টাইপ করে এন্টার করেন তাহলে মূলত https://arenawebsecurity.net/index.php পেইজটি ওপেন হয়। আপনারা সাইটটি তে গেলে যা দেখছেন তা আসলে index.php ফাইল। ) আবার সাইটিতে গেলে সেখানে বিভিন্ন সাবমেনু বা সাব কনটেন্টে যাওয়ার অপশন থাকে, যেমন চিত্র-২ এ দেখুন- HOME, ABOUT US, COURSE, BLOG, SERVICE,FAQ, CONTACT US etc..
এর মধ্যে যেমন - ABOUT US এ ক্লিক করলে (https://arenawebsecurity.net/about.php) পেইজে বা CONTACT US এ ক্লিক করলে (https://arenawebsecurity.net/contact.php) পেইজে নিয়ে নিয়ে যায় আবার হোম এ ক্লিক করলে ইনডেক্স পেইজে নিয়ে আসে। COURSE এ ক্লিক করলে সাবমেনু দেখায়।
এবার বলি ২য়টি (ব্যাক ইন্ড)
২য়টি হলো এডমিনিষ্টিটিভ কাজের জন্য এবং এই পার্টটি মূলতঃ এডমিন প্যানেল মেম্বারদের জন্য। সাধারন ইউজাররা এই সব ওয়েব লিংক গুলো দেখতে পাননা (সাধারণত ওয়েভ সাইটের কোথাও এডমিন মেম্বারদের লগ-ইন পেইজের মেনু বা লিংক ও দেয়া থাকে না।)
মনে করুন, এরিনা ওয়েভ সাইটের এডমিন প্যানেলে ৪ জন প্যনেল ইউজার আছে। তার মধ্যে একজন ইউজার( ahaque) সাইটের লগ-ইন করার পর সে শুধু লেটষ্ট ‍নিউজ সহ কিছু ইনফরমেশন আপডেট করার প্রিভিলাইজ আছে। তাহলে কেমন হতে পারে তার ডেসবোর্ড বা কর্য ক্রমের অপশন -
https://arenawebsecurity.net/admin/editnews.php
https://arenawebsecurity.net/admin/editfaq.php
তাহলে ahaque ইউজারের উপরের ২টি লিংক এ এক্সেস আছে যা দিয়ে সে লেটেষ্ট নিউজ এর frequently asked questions (FAQ‍) এর ডেটা পরিবর্তন করতে পারেন।
আবার ইউজার arena সে সুপার এডমিন, সে সাইটে ছবি সহ বিভিন্ন কনটেন্ট আপলোড করতে পারেন। যেমন:
https://arenawebsecurity.net/admin/slider/editslider.php
https://arenawebsecurity.net/admin/gallery/editgallery.php
এটাই হলো সংক্ষিপ্ত ওয়েভ সাইটের ষ্ট্রাকচার।
(ওয়েভ সাইটের ষ্ট্রাকচার নিয়ে ভবিষৎতে আরো আপডেট করবো ইনশাআল্লাহ্)
সাইটের ষ্ট্রকচার থেকে ২টি বিষয় বুজলাম-
ক) ওয়েব সাইটে যে কনটেন্ট গুলো দেখা যায় সেগুলো যেমন লিংক(https://arenawebsecurity.net/contact.php) তেমনি এডমিনদের জন্য ও লিংক আছে(https://arenawebsecurity.net/admin/slider/editslider.php) যে সব লিংক দিয়ে সাইটের কনটেন্ট ম্যানেজ করার।
খ) এডমিন লিংকগুলো হিডেন থাকে, সাধারন উইজার রা দেখকে পান না।
‍আর সেই কারনে হ্যাকাররা চায় যে কোন সাইটের এডমিন এক্সেস নেয়ার জন্য। এডমিন এক্সেস পেলে সে সাইটের কনটেন্ট পরিবর্তন- পরিমার্জন করার ‍লিংকগুলো পাবে।
এখন আসি নো-রিডাইরেক্ট বিষয়টা নিয়ে-
মনে করুন আমরা কোন ভাবে গেজ(ধারনা করলাম) করলাম বা শিউরই হলাম যে সাইটে editslider.php বা editproduct.php নামক ফাইল আছে।
মানে এই রকমঃ https://arenawebsecurity.net/admin/slider/editslider.php বা
http://xyz.net/admin/editproduct.php
এখন যদি লিংকটি ওয়েভ ব্রাউজারে লিখে এন্টার করি http://xyz.net/admin/editproduct.php দেখা যাচ্ছে যে এই লিংকটি সরে গিয়ে ব্রাউজারে শো করছে http://xyz.net/admin/login.php বা http://xyz.net/admin/index.php
আমি কোন লিংকে ব্রাউস করতে চেয়েছিলাম ?
http://xyz.net/admin/editproduct.php এইটা।
কি হলো?
ঐ লিংক রি-ডাইরেক্ট হয়ে চলে আসলো http://xyz.net/admin/index.php
আমি চেয়েছিলাম একটি লিংক ব্রাউস করতে কিন্তু সাইট আমাকে রি-ডাইরেক্ট করে অন্য লিংকে নিয়ে গেল, এখন কোন ভাবে যদি আমি এই রি-ডাইরেক্ট প্রসেসটাকে অফ করে দিতে পারি তাহলে কি হবে?
আমি আমার কাংঙ্খিত লিংকে ব্রাউজ করতে পারবো।
সেজন্য আমরা ফায়ার ফক্সের বা সাইবার ফক্সের নো-রিডাইরেক্ট এড-অন্স টি ব্যবাহার করবো।
আচ্ছা এই সব সাইট কিভাবে খুঁজে পাব?
খোঁজার জন্য আমাদের গুগলের সহায়তা নিতে হবে, মানে গুগল ডর্ক(গুগল ডর্ক নিয়ে আগে কয়েটি পোষ্ট গ্রুপে আছে, দেখে নিতে পারেন , এছাড়াও এর পরের পোষ্টেও ডর্ক দেবার ট্রাই করবো।)
=> আমাদের এমন সাইটগুলো খুঁজে বের করতে হবে যে সকল সাইটের ইউআর এল এ admin বা administrator আছে,
তারপর যে কোন পিইএইপি ফাইল আছে (সাথে সাইট দিয়ে আরো কাষ্টম করে নিতে পারেন)
যেমনঃ intitle:"index" of "admin" site:.in
inurl: admin/login.php site:.in
শুরুতেই বলেছি এটা একটা বাগ, বাগ ফিক্স ও হয়ে যেতে পারে, বুঝবো কেমনে যে সাইটটিতে নো-রিডাইরেক্ট বাগ টি ফিক্স হয়েছে কিনা?
এই বাগ কে কাজে লাগিয়ে সাইটের এডমিন এক্সেস নেয়া যায়। একটি সাইটে একাধিক লিংক ওপেন থাকতে পারে, কিন্তু সবগুলো লিংকই যে নো-রিডাইক্টে এড-অনসে কাজ করবে তা কিন্তু নয়। সাইটের এডমিন বা ডেভেলাপার যখন দেখে কোন লিংকে এই বাগ রয়ে গেছে বা ঐ লিংক দিয়ে হ্যাকার রা এক্সেস নিয়ে সাইট দখল করেছে তখন তা ফিক্স করে নেয়।
ফিক্স করা লিংক গুলো তে নো-রিডাইরেক্ট ব্যবহার করলে সাদা স্ক্রিণ আসে।
তখন আপনাকে দেখতে হবে ঐ সাইটে আর অন্য কোন লিংক ওপেন আছে কিনা, সেগুলোতে ট্রাই করতে হবে। আর যদি ঐ সাইটের সব লিংক ই সেইম সাদা স্ক্রিণ আসে, তাহলে ঐ সাইট ফিক্স করা হয়ে গেছে, অন্য সাইট এ ট্রাই করতে হবে।
ধন্যবাদ।
Labels:

Comments

Post a Comment

Popular posts from this blog

🚀 ৫০টি দরকারি কিবোর্ড শর্টকাট (Windows)(বাংলা ব্যাখ্যাসহ)

🚀 ৫০টি দরকারি কিবোর্ড শর্টকাট (Windows) (বাংলা ব্যাখ্যাসহ) (অজানা কিন্তু খুবই কাজে লাগে) ⸻ ১. Ctrl + N → নতুন ফাইল বা ডকুমেন্ট খুলবে (Word, Notepad, Browser ইত্যাদিতে)। ২. Ctrl + Shift + T → আগে বন্ধ হয়ে যাওয়া ব্রাউজার ট্যাব পুনরায় খুলবে। ৩. Ctrl + Shift + Left/Right Arrow → একসাথে পুরো শব্দ নির্বাচন করা যাবে। ৪. Alt + F4 → অ্যাপ বা উইন্ডো বন্ধ হবে। ৫. Ctrl + P → প্রিন্ট ডায়ালগ বক্স খুলবে (প্রিন্ট করার জন্য)। ⸻ ৬. Ctrl + A → সব ফাইল বা টেক্সট সিলেক্ট হবে। ৭. Ctrl + C → কপি করা যাবে। ৮. Ctrl + V → পেস্ট করা যাবে। ৯. Ctrl + X → কাট করা যাবে। ১০. Ctrl + Z → সর্বশেষ কাজ Undo হবে। ⸻ ১১. Ctrl + Y → Undo করা কাজ Redo হবে। ১২. Windows Key + E → File Explorer খুলবে। ১৩. Windows Key + D → ডেস্কটপ দেখাবে (সব মিনিমাইজ হবে)। ১৪. Ctrl + Shift + Esc → সরাসরি Task Manager খুলবে। ১৫. Windows Key + L → কম্পিউটার লক হবে। ⸻ ১৬. Windows Key + S → সার্চ অপশন চালু হবে। ১৭. Windows Key + R → Run কমান্ড চালু হবে। ১৮. F5 → রিফ্রেশ করবে। ১৯. Alt + Enter → Properties খুলবে। ২০. Ctrl + T → ব্রাউজারে নতুন ট্যাব খু...
Post a Comment
Read more

Books poem analysis with bangla

Books poem in bangla and with analysis Verse-wise Bangla Translation: What worlds of wonder are our books! As one opens them and looks, New ideas and people rise In our fancies and our eyes. আমাদের বইগুলো কী আশ্চর্য এক জগৎ! যখনই কেউ তা খুলে দেখে, নতুন ভাবনা আর নতুন মানুষ জেগে ওঠে কল্পনায় ও চোখের সামনে। The room we sit in melts away, And we find ourselves at play With some one who, before the end, May become our chosen friend. আমরা যে ঘরে বসে আছি, তা যেন মিলিয়ে যায়, আর আমরা আবিষ্কার করি নিজেদের খেলায় মত্ত কাউকে সঙ্গে নিয়ে, যে হয়তো শেষ পর্যন্ত আমাদের প্রিয় বন্ধু হয়ে উঠবে। Or we sail along the page To some other land or age. Here's our body in the chair, But our mind is over there. অথবা আমরা পৃষ্ঠার ওপর দিয়ে ভাসতে থাকি অন্য কোনো দেশ বা কালের দিকে। আমাদের শরীরটা রয়েছে চেয়ারে, কিন্তু মন চলে গেছে দূরে অন্য কোথাও। Each book is a magic box Which with a touch a child unlocks. In between their outside covers Books hold all things for their lovers. প্রতিটি বই একেকটি জাদুর বাক্স, যা শিশুরা এক ...
Post a Comment
Read more

set up application (easy)

Date. . . . . The Headmaster .D.I.N G S unnayan secondary school . . . . . . . . . . . . . . . . . . . Subject: Prayer for setting up . . . . . . . . . . . . . . Sir, We, the students of your school, beg most respectfully to state that our school is one of the best school in this area. A large numbet of students study in our school.There are many facilities in our school. But it is a matter of sorrow that there is no.. .canteen/debating club/computer club/school library/multimedia classroom/common room (যেকোন একটা,যেইটা পরিক্ষায় আসবে) . . in our school. So we can not enjoy the facilities of a . . . . .. . . . .!  ( এখানে কিছু কথা বানিয়ে লিখলে ভাল হয়) . .So it is very urgent to set up . . . , . . . .in our school. May, we therefore, pray and hope that you would be kind enough to grant our prayer and take necessary steps for setting up . . . . . .in our school and oblige thereby. Yours obediently. Name: On behalf of the students of your school
Post a Comment
Read more