Cross-Site Request Forgery (CSRF) হলো একটি নিরাপত্তা আক্রমণ যেখানে এক অ্যাপ্লিকেশনের বৈধ ব্যবহারকারীকে লক্ষ্য করে ক্ষতিকর HTTP রিকোয়েস্ট চালানো হয়। এর ফলে, আক্রমণকারী ব্যবহারকারীর প্রমাণিত অধিকার ব্যবহার করে সংবেদনশীল ডেটা চুরি করতে বা অ্যাকশন কার্যকর করতে পারে। গুগল ওয়েব টুলকিট (GWT)-এ CSRF আক্রমণ থেকে সুরক্ষা নিশ্চিত করা অত্যন্ত গুরুত্বপূর্ণ, বিশেষ করে যখন আপনার ওয়েব অ্যাপ্লিকেশনটি সার্ভারে সেসন বা কুকি ব্যবহার করে।
CSRF আক্রমণ কী এবং কেন এটি বিপজ্জনক?
CSRF (Cross-Site Request Forgery) আক্রমণ তখন ঘটে যখন একটি ব্যবহারকারী তার ব্রাউজারে একটি ওয়েবসাইটে লগ ইন থাকে এবং সেই লগইন সেশন ব্যবহৃত হয় আক্রমণকারী একটি অগ্রহণযোগ্য (unauthorized) রিকোয়েস্ট করার জন্য। এই আক্রমণ ব্যবহারকারীর পক্ষ থেকে একটি অবৈধ অনুরোধ তৈরি করে এবং সার্ভার সঠিকভাবে যাচাই না করে সেই অনুরোধ গ্রহণ করে।
যেমন:
- একজন ব্যবহারকারী তার ব্যাংক অ্যাকাউন্টে লগ ইন করেছেন, এবং আক্রমণকারী একটি ক্ষতিকর লিংক পাঠান, যা ব্যবহারকারী যখন ক্লিক করবেন, তখন একটি অর্থ স্থানান্তরের রিকোয়েস্ট তৈরি হবে।
- আক্রমণকারী যদি সার্ভারে কোনো যাচাই প্রক্রিয়া না করে পাঠাতে সক্ষম হয়, তবে ব্যবহারকারী না জানিয়েই ক্ষতিগ্রস্ত হবে।
এটি বিপজ্জনক কারণ এটি ব্যবহারকারীর অনুমোদন ছাড়া অ্যাকশন সম্পাদন করতে পারে এবং সার্ভারের জন্য এটি সনাক্ত করা কঠিন হতে পারে।
GWT-এ CSRF থেকে সুরক্ষা নিশ্চিত করার কৌশল
GWT অ্যাপ্লিকেশন তৈরি করার সময় CSRF আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে কিছু প্র্যাকটিস মেনে চলা উচিত। এখানে কিছু কৌশল আলোচনা করা হলো যা GWT অ্যাপ্লিকেশনগুলির জন্য কার্যকরী হতে পারে:
1. CSRF টোকেন ব্যবহার করা
প্রতিটি নিরাপদ রিকোয়েস্টের সঙ্গে একটি সিকিউরিটি টোকেন পাঠানো উচিত, যা ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি নির্দিষ্ট সম্পর্কের জন্য ব্যবহৃত হবে। এই টোকেনটি অনুমোদিত রিকোয়েস্টে যোগ করতে হয় এবং প্রতিটি রিকোয়েস্টের সাথে সার্ভারে যাচাই করা হয়।
GWT-এ CSRF টোকেন ব্যবহার:
- টোকেন তৈরি করা (Server-side): সার্ভারে একটি কাস্টম CSRF টোকেন তৈরি করুন এবং এটি প্রতিটি বৈধ সেশন বা রিকোয়েস্টে যুক্ত করুন।
public class CsrfTokenService {
private static final String CSRF_TOKEN_KEY = "csrf_token";
public String generateToken() {
return UUID.randomUUID().toString();
}
public boolean validateToken(String token, HttpSession session) {
String storedToken = (String) session.getAttribute(CSRF_TOKEN_KEY);
return storedToken != null && storedToken.equals(token);
}
}
- টোকেন ইনজেক্ট করা (Client-side): GWT ক্লায়েন্ট সাইডে আপনি CSRF টোকেন সহ রিকোয়েস্ট পাঠাতে পারেন। উদাহরণস্বরূপ, GWT-এ
RequestBuilderব্যবহার করে আপনি HTTP রিকোয়েস্ট পাঠাতে পারেন।
public void sendRequest() {
String csrfToken = getCsrfTokenFromSession(); // Retrieve CSRF token from session or cookie
RequestBuilder builder = new RequestBuilder(RequestBuilder.POST, "/your-service-url");
builder.setHeader("X-CSRF-Token", csrfToken); // Add CSRF token to the header
builder.sendRequest(null, new RequestCallback() {
@Override
public void onError(Request request, Throwable exception) {
Window.alert("Error: " + exception.getMessage());
}
@Override
public void onResponseReceived(Request request, Response response) {
Window.alert("Response: " + response.getText());
}
});
}
- টোকেন যাচাই (Server-side): সার্ভারে রিকোয়েস্ট গ্রহণ করার সময় CSRF টোকেন যাচাই করুন। শুধুমাত্র যদি টোকেন বৈধ হয় তবে রিকোয়েস্ট গ্রহণ করুন।
public void handleRequest(HttpServletRequest request, HttpServletResponse response) {
String csrfToken = request.getHeader("X-CSRF-Token");
if (!csrfTokenService.validateToken(csrfToken, request.getSession())) {
response.setStatus(HttpServletResponse.SC_FORBIDDEN);
return;
}
// Process the request
}
2. SameSite কুকি পলিসি ব্যবহার করা
SameSite কুকি পলিসি ব্যবহার করে আপনি এটি নিয়ন্ত্রণ করতে পারেন যে কুকি শুধুমাত্র সেই ডোমেইন থেকে রিকোয়েস্ট পাঠানো হলে অ্যাক্সেসযোগ্য হবে। এটি CSRF আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে সহায়তা করে।
Set-Cookie: sessionid=your-session-id; SameSite=Strict; Secure; HttpOnly
এখানে, SameSite=Strict কুকি শুধুমাত্র সেই সাইট থেকে পাঠানো হবে, যেখানে কুকিটি প্রথমবার সেট করা হয়েছিল, এবং বাইরের সাইট থেকে সেকেন্ডারি রিকোয়েস্ট গ্রহণ করা হবে না।
3. CORS (Cross-Origin Resource Sharing) কনফিগারেশন
CORS ব্যবহারের মাধ্যমে, আপনি নিয়ন্ত্রণ করতে পারেন কোন ডোমেইন থেকে আপনার অ্যাপ্লিকেশনে রিকোয়েস্ট করা যাবে। এটি CSRF আক্রমণ থেকে সুরক্ষা বাড়ায়, কারণ আপনি বাইরের ডোমেইন থেকে রিকোয়েস্ট গ্রহণ করা সীমিত করতে পারবেন।
@CrossOrigin(origins = "https://your-trusted-domain.com")
public class MyController {
// Your endpoint methods
}
এখানে, origins প্যারামিটারটি সেট করা হচ্ছে যাতে শুধুমাত্র নির্দিষ্ট ডোমেইন থেকে রিকোয়েস্ট গ্রহণ করা হয়।
CSRF থেকে সুরক্ষিত থাকার অন্যান্য কৌশল
- HTTP Methods ব্যবহারের সঠিক অভ্যাস: শুধুমাত্র GET রিকোয়েস্টে তথ্য পড়া উচিত এবং POST, PUT, DELETE ইত্যাদিতে ডেটা সংশোধন বা মুছে ফেলা উচিত। এর ফলে CSRF আক্রমণগুলি সফল হতে পারে না।
- CSP (Content Security Policy) ব্যবহার করা: CSP একটি সিকিউরিটি মেকানিজম যা Cross-Site Scripting (XSS) আক্রমণ থেকে সুরক্ষা প্রদান করতে সহায়তা করে। এটি CSRF আক্রমণ প্রতিরোধেও সহায়তা করতে পারে।
- Multi-Factor Authentication (MFA) প্রয়োগ করা: এটি ব্যবহারকারীদের সিস্টেমে লগইন করার সময় একটি অতিরিক্ত সুরক্ষা স্তর যোগ করতে সহায়তা করে, যেমন OTP বা অন্য কোনো যাচাই পদ্ধতি।
সারাংশ
Cross-Site Request Forgery (CSRF) একটি গুরুতর নিরাপত্তা সমস্যা, যেখানে আক্রমণকারী ব্যবহারকারীর অনুমতি ছাড়াই সিস্টেমে অবৈধ রিকোয়েস্ট পাঠিয়ে ক্ষতি করতে পারে। GWT অ্যাপ্লিকেশনগুলিতে CSRF আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে, CSRF টোকেন ব্যবহার করা, SameSite কুকি পলিসি প্রয়োগ করা, CORS কনফিগারেশন করা এবং সঠিক HTTP মেথড ব্যবহারের মাধ্যমে এই ঝুঁকি কমানো সম্ভব। এই কৌশলগুলির মাধ্যমে আপনার অ্যাপ্লিকেশনকে অধিক সুরক্ষিত করা সম্ভব, যা ব্যবহারকারীর ডেটা এবং অ্যাকশনের সুরক্ষা নিশ্চিত করবে।
Read more
