Remote Code Execution(রিমোট কোড এক্সিকিউশন) - XSS(এক্সএসএস) - CSRF(সিএসআরএফ)

 

ক্লাসে আলোচিত বিষয় সমূহঃ

- Remote Code Execution(রিমোট কোড এক্সিকিউশন) - XSS(এক্সএসএস) - CSRF(সিএসআরএফ) 🎯 Remote Code Execution(রিমোট কোড এক্সিকিউশন) রিমোট কোড মূল্যায়ন হলো একটি দুর্বলতা যা ব্যবহারকারীর ইনপুট কোনও ফাইল বা একটি স্ট্রিংয়ে ইনজেক্ট করা হয় এবং প্রোগ্রামিং ভাষার পার্সার দ্বারা কার্যকর (মূল্যায়ন) করা যায়। সাধারণত এই আচরণটি ওয়েব অ্যাপ্লিকেশনটির বিকাশকারী দ্বারা নয়। একটি রিমোট কোড মূল্যায়ন দুর্বল ওয়েব অ্যাপ্লিকেশন এবং ওয়েব সার্ভারের একটি সম্পূর্ণ আপস করতে পারে। এটি লক্ষণীয় যে প্রায় প্রতিটি প্রোগ্রামিং ভাষার কোড মূল্যায়নের কাজ রয়েছে। রিমোট কোড মূল্যায়ন ব্যাখ্যা এবং উদাহরণ: যদি আপনি সম্পর্কিত প্রোগ্রামিং ভাষাতে কোড মূল্যায়ন করে এমন ফাংশনগুলির মধ্যে ব্যবহারকারী ইনপুটটিকে অনুমতি দেন তবে একটি কোড মূল্যায়ন ঘটতে পারে। এটি উদ্দেশ্য হিসাবে বাস্তবায়ন করা যেতে পারে, উদাহরণস্বরূপ একটি ক্যালকুলেটর তৈরি করতে প্রোগ্রামিং ভাষার গাণিতিক ফাংশনগুলি অ্যাক্সেস করা বা দুর্ঘটনাক্রমে কারণ ব্যবহারকারী নিয়ন্ত্রিত ইনপুটটি এই ফাংশনগুলির মধ্যে বিকাশকারী থেকে প্রত্যাশিত নয়। এটি সাধারণত করার পরামর্শ দেওয়া হয় না। আসলে কোড মূল্যায়ন ব্যবহার করা এটি একটি খারাপ অনুশীলন হিসাবে বিবেচিত হয়। 🎯 XSS(এক্সএসএস) এক্সএসএস একটি খুব সাধারণভাবে ব্যবহৃত দুর্বলতার ধরণ যা খুব ব্যাপকভাবে ছড়িয়ে পড়ে এবং সহজেই সনাক্তযোগ্য। এখানে আমরা সর্বাধিক গুরুত্বপূর্ণ এক্সএসএস চিটশীট সম্পর্কে দেখতে যাচ্ছি। এক্সএসএস (ক্রস সাইট স্ক্রিপ্টিং) কী? কোনও আক্রমণকারী বৈধতা ছাড়াই আপনার অ্যাপ্লিকেশনটিতে জাভাস্ক্রিপ্টের অবিশ্বস্ত স্নিপেটগুলি ইনজেক্ট করতে পারে। এই জাভাস্ক্রিপ্টটি তখন শিকারের দ্বারা নির্ধারিত হয় যারা টার্গেট সাইটটি পরিদর্শন করে। এক্সএসএসকে তিন প্রকারে শ্রেণিবদ্ধ করা হয়েছে এবং এই এক্সএসএস চিট শিটটি পেন্টারদের জন্য এক্সএসএস দুর্বলতাগুলি খুঁজে পেতে সহায়তা করবে। Reflective এক্সএসএস: Reflective এক্সএসএস-এ, একজন আক্রমণকারী শিকারটিকে ইমেল, সোশ্যাল মিডিয়া ইত্যাদির মাধ্যমে লক্ষ্য প্রয়োগের লিঙ্কটি প্রেরণ করে This এই লিঙ্কটির মধ্যে একটি স্ক্রিপ্ট এম্বেড করা থাকে যা লক্ষ্য সাইটটিতে যাওয়ার সময় কার্যকর হয়। সঞ্চিত এক্সএসএস: সজ্জিত এক্সএসএস-এ, আক্রমণকারী লক্ষ্য ওয়েবসাইটটিতে একটি অবিরাম স্ক্রিপ্ট লাগাতে সক্ষম হয় যা যে কেউ এটি দেখার পরে কার্যকর করবে। ডোম-ভিত্তিক এক্সএসএস: ডোম ভিত্তিক এক্সএসএসের সাথে, কোনও এইচটিটিপি অনুরোধের প্রয়োজন নেই, স্ক্রিপ্টটি ক্ষতিগ্রস্থের ব্রাউজারে ক্লায়েন্ট সাইড কোডে লক্ষ্য সাইটের ডিওএম সংশোধন করার ফলস্বরূপ ইনজেক্ট করা হয় এবং তারপরে মৃত্যুদন্ড কার্যকর করা হয়। 🎯 CSRF(সিএসআরএফ) আপনি যখন কোনও ওয়েবসাইট ব্রাউজ করছেন, তখন সেই ওয়েবসাইটটির পক্ষে আপনার পক্ষে অন্য ওয়েবসাইট থেকে ডেটা অনুরোধ করা সাধারণ। উদাহরণস্বরূপ, বেশিরভাগ ক্ষেত্রে একটি ভিডিও যা একটি ওয়েবসাইটে প্রদর্শিত হয় তা সাধারণত ওয়েবসাইটেই সংরক্ষণ করা হয় না। ভিডিওটি ওয়েবসাইটে প্রদর্শিত হচ্ছে তবে এটি ইউটিউব ডটকমের মতো ভিডিও স্ট্রিমিং ওয়েবসাইটগুলি থেকে এম্বেড করা হচ্ছে। বিষয়বস্তু দ্রুত কাজ সরবরাহ করতে ব্যবহৃত কনটেন্ট ডেলিভারি নেটওয়ার্কস (সিডিএন) এটাই। অনেকগুলি ওয়েবসাইট স্ক্রিপ্ট, চিত্র এবং অন্যান্য ব্যান্ডউইথ ক্ষুধার্ত সংস্থানগুলি সিডিএনগুলিতে সঞ্চয় করে, তাই আপনি যখন তাদের ব্রাউজ করছেন তখন ওয়েবসাইটগুলি না থেকে আপনার কাছের সিডিএন উত্স থেকে চিত্রগুলি এবং স্ক্রিপ্ট ফাইলগুলি ডাউনলোড করা হয়।