Teachitbd.প্রযুক্তির সাথে সবসময়

Recent Post

Welcome To Teachitbd

ওয়েব সাইটের সর্বশেষ পোষ্ট পেতে লাইক দিন আমাদের ফেসবুক পেইজ এ আর পান প্রতিদিন নতুন নতুন টিপ্স এন্ড টিউটোরিয়াল ।

Tigris Anti-Malware

Tigris Anti-Malware
Anti-Ransomware

Follow us

Thursday, October 29, 2015

XSS vunerability

আজ আমরা xss vunerability চেক করা শিখবো।
XSS কি ?
XSS হ্যাকিং সম্পর্কে জানতে হলে
প্রথমেই জানতে হবে XSS জিনিসটা
কি? Cross site Scripting এর সংক্ষিপ্তরূপই
হচ্ছে XSS এটাকে আবার CSS(Cascading
Style sheet) ও বলে থাকে। যার যেভাবে
ইচ্ছা সে ভাবে বলে। এটা Web
Application Vulnerability এর সবচেয়ে
জনপ্রিয় গুলোর একটি। এই vulnerability
একজন হ্যাকারকে একটি সাইটে client
side scripts (বিশেষ কিছু Javascript)
ইনসার্ট করার অনুমতি প্রদান করেন। এই
vulnerabilityদিয়ে একজন হ্যাকার
ভিকটিমের সাইটে malicious codes,
malware attack, phishing ইত্যাদি inject
করাতে পারে।
XSS Vulnerability and Injection
ধাপ ১: Vulnerable ওয়েব সাইট খুঁজে বের
করা
একজন হ্যাকার প্রথমে Vulnerable সাইট
খুজে বের করেন। এজন্য সে প্রথমে Google
এ যায়। তারপর সে Google Dorks ব্যবহার
করে Vulnerable সাইট খুজে বের করে।
তাহলে আপনি তার সাথে সার্চ দিন
নিচের sql Injection দিয়ে।
"search?q="
তাহলে আপনি অনেকগুলো Vulnerable
সাইট খুজে পাবেন। এবার একটি সাইটে
প্রবেশ করুন।
ধাপ ২: Vulnerability পরীক্ষা করা
এখন আমরা যে সাইটে প্রবেশ করেছি,
সেই সাইটের Vulnerability পরীক্ষা করে
দেখব। এজন্য আপনাকে প্রথমে উক্ত
সাইটের এবটি পোষ্ট বা parameter খুঁজে
বের করতে হবে। বুঝেছেন? না বুঝলে
একটু অপেক্ষা করেন, বলছি। মানে
আপনি এমন একটি পোষ্ট খুঁজে বের
করবেন যা উক্ত সাইটের সার্ভার
পাঠাবে। যেমনঃ search query, username,
password.
Vulnerability পরীক্ষা করা জন্য দুটি
পদ্ধতি আছে।
পদ্ধতি ১: প্রথম পদ্ধতি হল সাইটের মূল
সার্চ বক্সে injection করা।
একজন হ্যাকার সাধারণত সাইটের মূল
সার্চ বক্সে একটি malcious script লিখে,
তারপর সার্চ বাটনে ক্লিক করে। সার্চ
দেয়ার সাথে সাথে malcious script টি
ওয়েবসাইটে কাজ করা শুরু করে দেয়।
পদ্ধতি ২: সাইটের URL এ injection করা।
এটি কোন সার্চ বক্সে কাজ করে না।
এটি শুধু মাত্র সাইটের URL এ কাজ করে
থাকে। যেমনঃ-
htp://vulnerablewebsite/search?
q=malicious_script_goes_here
পরীক্ষা করার সুবিধার্থে input fields
হিসেবে নিচের কোডটি দিন।
alert('hi');
এবার উপরের কোডটি দিয়ে আপনি
এবার পরীক্ষা করে দেখুন। যেমনঃ-
প্রথম পদ্ধতিঃ আপনি উপরের কোডটি
আপনার ভিকটিমের সাইটের মূল সার্চ
বক্সে লিখে সার্চ দেন।
তাহলে একটি পপ আপ বক্স পাবেন।
দ্বিতীয় পদ্ধতিঃ আপনি ভিকটিমের
সাইটের লিংকে লাগিয়ে এন্টার দিন।
যেমনঃ-
http://vulnerablewebsite/search?
q=alert('BRH_NAHID');
এবার আপনি দেখবেন যে 'BRH_NAHID' লিখা একটি পপ
আপ বক্স আসছে। তাহলে বুঝবেন যে এই
সাইটটি XSS এর জন্য vulnerable.
এইটা দেখতে পারেন।একটা এক্সামপল দিলাম।
http://www.stealthracing.co.uk/
show.php?mid=41">alert
("BRH_NAHID - XSS")
আপনাদের জন্যে কিছু
=>XSS Dorks<==
Code:
inurl:".php?cmd="
inurl:".php?z="
inurl:".php?q="
inurl:".php?search="
inurl:".php?query="
inurl:".php?searchstring="
inurl:".php?keyword="
inurl:".php?file="
inurl:".php?years="
inurl:".php?txt="
inurl:".php?tag="
inurl:".php?max="
inurl:".php?from="
inurl:".php?author="
inurl:".php?pass="
inurl:".php?feedback="
inurl:".php?mail="
inurl:".php?cat="
inurl:".php?vote="
inurl:search.php?q=
inurl:com_feedpostold/feedpost.php?url=
inurl:scrapbook.php?id=
inurl:headersearch.php?sid=
inurl:/poll/default.asp?catid=
inurl:/search_results.php?search=

No comments:

Post a Comment

Comment here

Anti-Ransomware