এসকিউএল ইনজেকশন
সাধারণত ওয়েবসাইট আক্রমণের জন্য ব্যবহার করা হয়। এর মাধ্যমে সাইটের কোনো
ওয়েব ফর্মে (যেমন : অ্যাডমিন লগইন পেজ) এসকিউএল স্টেটমেন্ট লেখা হয়। এর
মাধ্যমে হ্যাকার সাইটের গোপন তথ্য চুরি করতে পারে বা অথেনটিকেশন ভায়োলেট
করতে পারে। যেমন : কোনো সাইটের ইউজারনেম admin. এখন খারাপভাবে ডিজাইন করা
সেই সাইটে যদি ইউজারনেম admin এবং পাসওয়ার্ডের জাগায় যদি ‘or’1 ‘=’1
ব্যবহার করা হয় তবে তা আমাকে সাইটিতে admin হিসেবে লগইন করাবে। এরকম আরও
অনেক ধরনের এসকিউএল স্টেটমেন্ট লেখা সম্ভব, যা দিয়ে সাইটের নিরাপত্তা
বিঘ্নিত হতে পারে।
প্রতিকার : যেকোনো এসকিউএল স্টেটমেন্ট রান করানোর আগে তা চেক করে নিতে হবে। পিএইচপি ফাংশন mysql_real_escape_string() এ ব্যাপারে ব্যবহার করা হয়। নিম্নলিখিত কোড এসকিউএল ইনজেকশন চেক করার কাজে ব্যবহার হয়।
$query = sprintf(“SELECT * FROM `Users` WHERE UserName=’%s’ AND Password=’%s’”, mysql_real_escape_string($Username), mysql_real_escape_string($Password));
mysql_query($query);
সুতরাং যখনই কোনো এসকিউএল স্টেটমেন্ট রান করানো হবে তখন ইসকেপ ক্যারেক্টারগুলো বাদ দিয়ে দিতে হবে।
ক্রস সাইট স্ক্রিপ্টিং : ক্রস সাইট স্ক্রিপ্টিং দিয়ে একজন হ্যাকার তার ভিকটিমের ওয়েবসাইটের ক্লায়েন্ট সাইড স্ক্রিপ্টেরের মধ্যে নিজের কোনো স্ক্রিপ্ট ঢুকিয়ে দিয়ে থাকে। যখন একজন ভিজিটর ওই সাইটে ভিজিট করেন তখন স্ক্রিপ্টটি স্বয়ংক্রিয়ভাবে ভিজিটরের ব্রাউজারে ডাউনলোড হয়। এই আক্রমণের মাধ্যমে একজন হ্যাকার কোনো ইউজারের সেশন ও কুকি চুরি করে থাকে। এর মাধ্যমে হ্যাকার নিজে কোনো ভ্যালিড ইউজার হিসেবে ইম্পারসোনেট করতে পারে।
প্রতিকার : ০১. HTML ভ্যালিডেশন করতে হবে। HTML Purifier দিয়ে সাইটটি বা এক্সটেনশনটি ভ্যালিড করে নিতে হবে।
০২. কুকিভিত্তিক অথেনটিকেশন পরিহার করা।
০৩. সাইটে কোনো ধরনের থার্ড পার্টি স্ক্রিপ্ট এমবেড বা এক্সিকিউশন বন্ধ করা; যাতে কেউ সাইটের কমেন্ট বক্সে কোনো কোড পেস্ট করতে না পারে।
দুর্বল পাসওয়ার্ড : মনে হয় না এই বিষয় নিয়ে বিস্তারিত বলার তেমন কিছু আছে। নিচের লিস্ট থেকে দেখে নিতে পারেন খারাপ পাসওয়ার্ডের নমুনা।
http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time
এর মধ্যে আপানার পাসওয়ার্ডটি যেনো না থাকে সে ব্যাপারে খেয়াল করুন। আপনার পাসওয়ার্ডের স্ট্রেন্থ কেমন তা চেক করে নিতে পারেন এই সাইট থেকে http://www. passwordmeter.com/
প্রতিকার : সবসময় কঠিন ও আনকমন পাসওয়ার্ড ব্যবহার করুন। পাসওয়ার্ড তৈরিতে স্পেশাল কী ব্যবহার করুন। যেমন : @, #, $ । সাথে ক্যাপস লক ব্যবহার করতে পারেন। আরেকটা ভালো অপশন হতে পারে বাংলাতে পাসওয়ার্ড। যেমন : কারখানা-Karkhana, বিশ্ববিদ্যালয়-Bishobiddalo, শিক্ষা-Shikha।
ফাইল পারমিশন : অ্যাপাচি সার্ভারে কোনো ফাইলে সাধারণত তিন ধরনের পারমিশন থাকে। ফাইলটিকে পড়া, ফাইলটিতে লেখা, ফাইলটি এক্সিকিউট করা (শেল বা এক্সকিউটেবল ফাইলের জন্য, ডাটা ফাইলের জন্য প্রজোয্য নয়)। মালিকানা থাকে তিন ধরনের : ফাইল ওনার (যে ফাইলটি তৈরি করেন), গ্রুপ ওনার (যে গ্রুপে থাকেন), পাবলিক (সবাই)। যদি কোনো ফাইলের পাবলিক রাইট দেয়া থাকে তাহলে যে কোনো হ্যাকার ফাইলটি রিরাইট করতে পারে।
প্রতিকার : কোনো সময়ই কোনো ফাইলের পাবলিক রাইট পারমিশন দেয়া যাবে না।
প্রতিকার : যেকোনো এসকিউএল স্টেটমেন্ট রান করানোর আগে তা চেক করে নিতে হবে। পিএইচপি ফাংশন mysql_real_escape_string() এ ব্যাপারে ব্যবহার করা হয়। নিম্নলিখিত কোড এসকিউএল ইনজেকশন চেক করার কাজে ব্যবহার হয়।
$query = sprintf(“SELECT * FROM `Users` WHERE UserName=’%s’ AND Password=’%s’”, mysql_real_escape_string($Username), mysql_real_escape_string($Password));
mysql_query($query);
সুতরাং যখনই কোনো এসকিউএল স্টেটমেন্ট রান করানো হবে তখন ইসকেপ ক্যারেক্টারগুলো বাদ দিয়ে দিতে হবে।
ক্রস সাইট স্ক্রিপ্টিং : ক্রস সাইট স্ক্রিপ্টিং দিয়ে একজন হ্যাকার তার ভিকটিমের ওয়েবসাইটের ক্লায়েন্ট সাইড স্ক্রিপ্টেরের মধ্যে নিজের কোনো স্ক্রিপ্ট ঢুকিয়ে দিয়ে থাকে। যখন একজন ভিজিটর ওই সাইটে ভিজিট করেন তখন স্ক্রিপ্টটি স্বয়ংক্রিয়ভাবে ভিজিটরের ব্রাউজারে ডাউনলোড হয়। এই আক্রমণের মাধ্যমে একজন হ্যাকার কোনো ইউজারের সেশন ও কুকি চুরি করে থাকে। এর মাধ্যমে হ্যাকার নিজে কোনো ভ্যালিড ইউজার হিসেবে ইম্পারসোনেট করতে পারে।
প্রতিকার : ০১. HTML ভ্যালিডেশন করতে হবে। HTML Purifier দিয়ে সাইটটি বা এক্সটেনশনটি ভ্যালিড করে নিতে হবে।
০২. কুকিভিত্তিক অথেনটিকেশন পরিহার করা।
০৩. সাইটে কোনো ধরনের থার্ড পার্টি স্ক্রিপ্ট এমবেড বা এক্সিকিউশন বন্ধ করা; যাতে কেউ সাইটের কমেন্ট বক্সে কোনো কোড পেস্ট করতে না পারে।
দুর্বল পাসওয়ার্ড : মনে হয় না এই বিষয় নিয়ে বিস্তারিত বলার তেমন কিছু আছে। নিচের লিস্ট থেকে দেখে নিতে পারেন খারাপ পাসওয়ার্ডের নমুনা।
http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time
এর মধ্যে আপানার পাসওয়ার্ডটি যেনো না থাকে সে ব্যাপারে খেয়াল করুন। আপনার পাসওয়ার্ডের স্ট্রেন্থ কেমন তা চেক করে নিতে পারেন এই সাইট থেকে http://www. passwordmeter.com/
প্রতিকার : সবসময় কঠিন ও আনকমন পাসওয়ার্ড ব্যবহার করুন। পাসওয়ার্ড তৈরিতে স্পেশাল কী ব্যবহার করুন। যেমন : @, #, $ । সাথে ক্যাপস লক ব্যবহার করতে পারেন। আরেকটা ভালো অপশন হতে পারে বাংলাতে পাসওয়ার্ড। যেমন : কারখানা-Karkhana, বিশ্ববিদ্যালয়-Bishobiddalo, শিক্ষা-Shikha।
ফাইল পারমিশন : অ্যাপাচি সার্ভারে কোনো ফাইলে সাধারণত তিন ধরনের পারমিশন থাকে। ফাইলটিকে পড়া, ফাইলটিতে লেখা, ফাইলটি এক্সিকিউট করা (শেল বা এক্সকিউটেবল ফাইলের জন্য, ডাটা ফাইলের জন্য প্রজোয্য নয়)। মালিকানা থাকে তিন ধরনের : ফাইল ওনার (যে ফাইলটি তৈরি করেন), গ্রুপ ওনার (যে গ্রুপে থাকেন), পাবলিক (সবাই)। যদি কোনো ফাইলের পাবলিক রাইট দেয়া থাকে তাহলে যে কোনো হ্যাকার ফাইলটি রিরাইট করতে পারে।
প্রতিকার : কোনো সময়ই কোনো ফাইলের পাবলিক রাইট পারমিশন দেয়া যাবে না।
No comments:
Post a Comment