আজকের টিউটোরিয়ালে ক্রস সাইট স্ক্রিপ্টিং কি এবং কিভাবে কাজ করে আমরা এটা বোঝার চেষ্টা করব।
ক্রস সাইট স্ক্রিপ্টিং একটা কোড ইঞ্জেকশন যেটার সাহায্যে কোন ওয়েবসাইটে ক্ষতিকর কোড প্রবেশ করানো যায়। উপরে যে পিকচার টা দেখছেন এটা ক্রস সাইট স্ক্রিপ্টিং এর এক্সাম্পল। একটা ওয়েবসাইটে যত বেশী ইনপুট ফিল্ড থাকে সে ওয়েবসাইটের ভুলনার্বাল হওয়ার চান্স তত বেশী থাকে। ক্রস সাইট স্ক্রিপ্টিং এক্স এস এস নামেও পরিচিত।
এক্স এস এস দিয়ে কি কি করা যায়?
- জাভাস্ক্রপ্ট ব্যাবহার করে সব ধরনের ক্ষতিকর কাজ করানো যায়।
- সাইট মোডিফাই করে সাইটের ডিজাইন ও এর কাজের ধরন বদলে দেওয়া যায়।
- ইউজারের কুকিজ চুরি করে সেই ইউজার হিসেবে ওয়েবসাইট ব্যাবহার করা যায়। কুকিজ কি আর এর কাজ কি অনেকের না জানা থাকতে পারে। আপনি যখন কোন ওয়েবসাইটে প্রবেশ করেন, সে সাইট থেকে আপনার কম্পিউটারে ডাটা পাঠায় আর সে ডাটা আপনার ব্রাউজারে একটা ফাইলে জমা থাকে। এই ফাইলটার নাম কুকিজ। কুকিজ সাইটে ইউজারের অ্যাক্টিভিটির ট্র্যাক রাখে। আপনি অন্য কারো কুকিজ ব্যাবহার করলে আপনি ওয়েবসাইটে যার কুকিজ ব্যাবহার করেছেন তাকে ভেবে ভুল করবে।
- আপনি কোন ইউজার কে এক্স এস এস এর মাধ্যমে অন্য কোন ওয়েবসাইটে, ম্যালওয়্যার অথবা অন্য যেকোন কিছুর ডাউনলোড লিংকে পাঠিয়ে দিতে পারবেন।
এক্স এস এস কিভাবে কাজ করে?
উপরের ছবিতে অ্যাটাকার ভুলনার্বাল ওয়েবসাইটে ক্ষতিকর স্ক্রিপ্ট ইঞ্জেক্ট করছে, সেই স্ক্রিপ্ট ডাটাবেজে সেভ হয়ে থাকছে এবং যখন সে ডাটার জন্য সার্ভারে রিকোয়েস্ট করছে তখন সে স্ক্রিপ্টের মাধ্যমে ইনফেক্ট হচ্ছে।
প্রথমেই বোঝার চেষ্টা করি HTML কিভাবে কাজ করে। এটা একটা ট্যাগ বেজড ল্যাংগুয়েজ।
HTML এ বিগিনিং ট্যাগ এবং একটা এন্ডিং ট্যাগ থাকে। যেমন HTML এ <p> ট্যাগ ব্যাবহার করে প্যারাগ্রাফ ডিফাইন করা হয়। এই ট্যাগ ব্যাবহারের পর যতক্ষন এন্ডিং ট্যাগ </p> না পাবে সব টেক্সট প্যারাগ্রাফের আন্ডারে আসবে। কি হবে যদি আমরা এমন কিছু কোন ওয়েবসাইটে করি?
এই টিউটোরিয়াল বেশ কিছু ভাগে বিভক্ত থাকবে। আমরা যে বিষয় গুলো নিয়ে আলোচনা করব ঃ
- DOM Based XSS
- Persistent Scripts
- Non Persistent Scripts
- ফিল্টার বাইপাস
নেক্সট টিউটোরিয়াল থাকবে DOM Based XSS এর উপর। যারা এখন পর্যন্ত HTML জানেন না তারা শেখা শুরু করুন আর যারা HTML জানেন তারা জাভাস্ক্রিপ্ট শেখা শুরু করুন।
