XSS (ক্রস-সাইট স্ক্রিপ্টিং) শিখুন: ওয়েব সিকিউরিটি গাইড | ইথিকাল হ্যাকিং ডে-৭

 

ইথিকাল হ্যাকিং ডে-৭: XSS (ক্রস-সাইট স্ক্রিপ্টিং) - সম্পূর্ণ গাইড

🎯 আজকের শেখার রোডম্যাপ

হাই বন্ধুরা! আজ আমরা একটা মজার এবং গুরুত্বপূর্ণ বিষয় নিয়ে কথা বলবো—XSS বা ক্রস-সাইট স্ক্রিপ্টিং। এটা একটু টেকনিক্যাল শোনালেও চিন্তা করো না, আমি তোমাদের সাথে বন্ধুর মতো সহজ ভাষায় সবকিছু বুঝিয়ে দেবো। তাহলে চলো, এক কাপ চা বা কফি নিয়ে শুরু করি!

• 🔍 XSS কী আর কেন এটা জানা দরকার?
• 🧩 XSS-এর তিনটা প্রকার (Reflected, Stored, DOM-based)
• 💻 DVWA-তে হাতে-কলমে প্র্যাকটিস
• 🛡️ XSS থেকে বাঁচার উপায়
• 🏆 রিয়েল-ওয়ার্ল্ড উদাহরণ

XSS কী জিনিস?

বন্ধুরা, XSS বা ক্রস-সাইট স্ক্রিপ্টিং হলো এমন একটা দুর্বলতা, যেখানে একজন হ্যাকার তোমার ওয়েবসাইট বা ব্রাউজারে দুষ্টুমি করার জন্য কিছু খারাপ কোড ঢুকিয়ে দেয়। ধরো, তুমি একটা ওয়েবসাইটে তোমার নাম লিখলে, আর সেটা সরাসরি পেজে দেখায়। এখন যদি তুমি নামের জায়গায় শুধু "রাহিম" না লিখে <script>alert('Hacked!')</script> লিখে দাও, তাহলে কী হবে? ওয়েবসাইটটা সেটাকে বোকার মতো চালিয়ে দেবে, আর তোমার স্ক্রিনে একটা পপ-আপ দেখাবে যে "Hacked!"।

এটা শুধু মজা নয়, বরং হ্যাকাররা এভাবে তোমার গোপন তথ্য, যেমন কুকি বা লগইন ডিটেইলস চুরি করতে পারে। তাই এটা বোঝা আর ঠেকানো খুব জরুরি!

<script>alert('Hacked!')</script>

XSS-এর তিনটা প্রকার

XSS তিন রকমের হতে পারে। চলো, একটু গল্পের মতো বুঝি:

প্রকার	বর্ণনা	উদাহরণ
Reflected XSS	ধরো, তুমি একটা সার্চ বক্সে কিছু লিখলে, আর সেটা সরাসরি পেজে দেখায়। যদি তুমি <script>alert('Hi')</script> লিখো, তাহলে পপ-আপ চলে আসবে।	সার্চ রেজাল্ট পেজ
Stored XSS	এটা ডাটাবেসে সেভ হয়। ধরো, ব্লগে কমেন্টে কোড লিখলে, সবাই যারা কমেন্ট পড়বে, তাদের জন্য পপ-আপ দেখাবে।	ব্লগ কমেন্টস
DOM-based XSS	ব্রাউজার নিজেই কোড প্রসেস করে। URL-এ কোড ঢুকালে সেটা চলে যায়।	URL প্যারামিটার

⚠️ সাবধানতার কথা

বন্ধুরা, এই জিনিসগুলো আমরা শিখছি শুধু শিক্ষার জন্য। এটা দিয়ে কারো ক্ষতি করা যাবে না। তুমি শুধু:

• নিজের ওয়েবসাইটে টেস্ট করতে পারো।
• অনুমতি নিয়ে পেনিট্রেশন টেস্টিং করতে পারো।
• শিক্ষার জন্য ব্যবহার করতে পারো।

অনুমতি ছাড়া অন্য কারো সিস্টেমে এটা করলে আইনি ঝামেলায় পড়তে পারো, তাই সাবধান!

DVWA-তে হাতেকলমে প্র্যাকটিস

এবার আসল মজা! আমরা DVWA (Damn Vulnerable Web Application) নামে একটা টুল ব্যবহার করে XSS টেস্ট করবো। এটা একটা প্র্যাকটিস ল্যাব।

কীভাবে শুরু করবো?

1. প্রথমে XAMPP বা WAMP ইন্সটল করো।
2. DVWA ডাউনলোড করো (লিঙ্ক)।
3. ফাইলগুলো XAMPP-এর htdocs ফোল্ডারে রাখো।
4. ব্রাউজারে localhost/DVWA/setup.php খুলে সেটআপ করো।
5. লগইন করো (ইউজার: admin, পাসওয়ার্ড: password)।

Reflected XSS টেস্ট

"XSS (Reflected)" সেকশনে গিয়ে এটা লিখে চালাও:

<script>alert(document.cookie)</script>

এটা তোমার কুকি দেখিয়ে দেবে!

XSS থেকে বাঁচার উপায়

এবার শিখবো কীভাবে এই দুষ্টুমি থেকে নিজেকে বাঁচাবো:

পদ্ধতি	কীভাবে করবো?
ইনপুট ভ্যালিডেশন	<script> জাতীয় জিনিস ব্লক করো।
Output Encoding	ইনপুটকে HTML এনটিটিতে কনভার্ট করো।
Content Security Policy	কোন স্ক্রিপ্ট চলবে, সেটা HTTP হেডারে বলে দাও।

🧪 আজকের ল্যাব টাস্ক

চলো, একটু হোমওয়ার্ক করি:

1. DVWA-তে Reflected XSS টেস্ট করো।
2. একটা ছোট ব্লগ কমেন্ট সিস্টেম বানিয়ে Stored XSS দেখো।
3. একটা সিম্পল পেজ বানাও যেখানে DOM-based XSS টেস্ট করা যায়।
4. উপরের তিনটা প্রতিরোধ পদ্ধতি ইমপ্লিমেন্ট করে দেখো।

পরবর্তী ক্লাস: "CSRF (ক্রস-সাইট রিকোয়েস্ট ফর্জারি) আক্রমণ ও প্রতিরোধ"

#XSS #ওয়েব_সিকিউরিটি #ইথিকাল_হ্যাকিং #DVWA