ইথিকাল হ্যাকিং ডে-৭: XSS (ক্রস-সাইট স্ক্রিপ্টিং) - সম্পূর্ণ গাইড
🎯 আজকের শেখার রোডম্যাপ
হাই বন্ধুরা! আজ আমরা একটা মজার এবং গুরুত্বপূর্ণ বিষয় নিয়ে কথা বলবো—XSS বা ক্রস-সাইট স্ক্রিপ্টিং। এটা একটু টেকনিক্যাল শোনালেও চিন্তা করো না, আমি তোমাদের সাথে বন্ধুর মতো সহজ ভাষায় সবকিছু বুঝিয়ে দেবো। তাহলে চলো, এক কাপ চা বা কফি নিয়ে শুরু করি!
- 🔍 XSS কী আর কেন এটা জানা দরকার?
- 🧩 XSS-এর তিনটা প্রকার (Reflected, Stored, DOM-based)
- 💻 DVWA-তে হাতে-কলমে প্র্যাকটিস
- 🛡️ XSS থেকে বাঁচার উপায়
- 🏆 রিয়েল-ওয়ার্ল্ড উদাহরণ
XSS কী জিনিস?
বন্ধুরা, XSS বা ক্রস-সাইট স্ক্রিপ্টিং হলো এমন একটা দুর্বলতা, যেখানে একজন হ্যাকার তোমার ওয়েবসাইট বা ব্রাউজারে দুষ্টুমি করার জন্য কিছু খারাপ কোড ঢুকিয়ে দেয়। ধরো, তুমি একটা ওয়েবসাইটে তোমার নাম লিখলে, আর সেটা সরাসরি পেজে দেখায়। এখন যদি তুমি নামের জায়গায় শুধু "রাহিম" না লিখে <script>alert('Hacked!')</script> লিখে দাও, তাহলে কী হবে? ওয়েবসাইটটা সেটাকে বোকার মতো চালিয়ে দেবে, আর তোমার স্ক্রিনে একটা পপ-আপ দেখাবে যে "Hacked!"।
এটা শুধু মজা নয়, বরং হ্যাকাররা এভাবে তোমার গোপন তথ্য, যেমন কুকি বা লগইন ডিটেইলস চুরি করতে পারে। তাই এটা বোঝা আর ঠেকানো খুব জরুরি!
XSS-এর তিনটা প্রকার
XSS তিন রকমের হতে পারে। চলো, একটু গল্পের মতো বুঝি:
| প্রকার | বর্ণনা | উদাহরণ |
|---|---|---|
| Reflected XSS | ধরো, তুমি একটা সার্চ বক্সে কিছু লিখলে, আর সেটা সরাসরি পেজে দেখায়। যদি তুমি <script>alert('Hi')</script> লিখো, তাহলে পপ-আপ চলে আসবে। |
সার্চ রেজাল্ট পেজ |
| Stored XSS | এটা ডাটাবেসে সেভ হয়। ধরো, ব্লগে কমেন্টে কোড লিখলে, সবাই যারা কমেন্ট পড়বে, তাদের জন্য পপ-আপ দেখাবে। | ব্লগ কমেন্টস |
| DOM-based XSS | ব্রাউজার নিজেই কোড প্রসেস করে। URL-এ কোড ঢুকালে সেটা চলে যায়। | URL প্যারামিটার |
⚠️ সাবধানতার কথা
বন্ধুরা, এই জিনিসগুলো আমরা শিখছি শুধু শিক্ষার জন্য। এটা দিয়ে কারো ক্ষতি করা যাবে না। তুমি শুধু:
- নিজের ওয়েবসাইটে টেস্ট করতে পারো।
- অনুমতি নিয়ে পেনিট্রেশন টেস্টিং করতে পারো।
- শিক্ষার জন্য ব্যবহার করতে পারো।
অনুমতি ছাড়া অন্য কারো সিস্টেমে এটা করলে আইনি ঝামেলায় পড়তে পারো, তাই সাবধান!
DVWA-তে হাতেকলমে প্র্যাকটিস
এবার আসল মজা! আমরা DVWA (Damn Vulnerable Web Application) নামে একটা টুল ব্যবহার করে XSS টেস্ট করবো। এটা একটা প্র্যাকটিস ল্যাব।
কীভাবে শুরু করবো?
- প্রথমে XAMPP বা WAMP ইন্সটল করো।
- DVWA ডাউনলোড করো (লিঙ্ক)।
- ফাইলগুলো XAMPP-এর htdocs ফোল্ডারে রাখো।
- ব্রাউজারে
localhost/DVWA/setup.phpখুলে সেটআপ করো। - লগইন করো (ইউজার: admin, পাসওয়ার্ড: password)।
Reflected XSS টেস্ট
"XSS (Reflected)" সেকশনে গিয়ে এটা লিখে চালাও:
এটা তোমার কুকি দেখিয়ে দেবে!
XSS থেকে বাঁচার উপায়
এবার শিখবো কীভাবে এই দুষ্টুমি থেকে নিজেকে বাঁচাবো:
| পদ্ধতি | কীভাবে করবো? |
|---|---|
| ইনপুট ভ্যালিডেশন | <script> জাতীয় জিনিস ব্লক করো। |
| Output Encoding | ইনপুটকে HTML এনটিটিতে কনভার্ট করো। |
| Content Security Policy | কোন স্ক্রিপ্ট চলবে, সেটা HTTP হেডারে বলে দাও। |
🧪 আজকের ল্যাব টাস্ক
চলো, একটু হোমওয়ার্ক করি:
- DVWA-তে Reflected XSS টেস্ট করো।
- একটা ছোট ব্লগ কমেন্ট সিস্টেম বানিয়ে Stored XSS দেখো।
- একটা সিম্পল পেজ বানাও যেখানে DOM-based XSS টেস্ট করা যায়।
- উপরের তিনটা প্রতিরোধ পদ্ধতি ইমপ্লিমেন্ট করে দেখো।
