light mode
night mode
ইনফরমেশন সিকিউরিটি এন্ড সাইবার লঅ (Information Security and Cyber Law)
ইনফরমেশন সিকিউরিটির ভূমিকা (Introduction to Information Security) ইনফরমেশন সিকিউরিটি কী এবং এর গুরুত্ব ইনফরমেশন সিকিউরিটির তিনটি মূল স্তম্ভ: গোপনীয়তা (Confidentiality), অখণ্ডতা (Integrity), এবং প্রাপ্যতা (Availability) সাইবার থ্রেট এবং ঝুঁকির মূল কারণ সাইবার থ্রেট এবং এর ধরন (Types of Cyber Threats) ম্যালওয়্যার (Malware): ভাইরাস, ওয়ার্ম, ট্রোজান, স্পাইওয়্যার ডিনায়াল-অফ-সার্ভিস (DoS) এবং ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণ ফিশিং (Phishing), ম্যান-ইন-দ্য-মিডল (MITM), এবং র‍্যানসমওয়্যার সোশ্যাল ইঞ্জিনিয়ারিং এবং হ্যাকিং ইনফরমেশন সিকিউরিটি মডেলস (Information Security Models) CIA ট্রায়াড মডেল (Confidentiality, Integrity, Availability) পলিসি ভিত্তিক সিকিউরিটি মডেল বেল-লাপাদুলা মডেল এবং বি.আই.বি.এ মডেল জিরো ট্রাস্ট আর্কিটেকচার ক্রিপ্টোগ্রাফি (Cryptography) ক্রিপ্টোগ্রাফির মৌলিক ধারণা সিমেট্রিক এবং অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফি পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) এবং ডিজিটাল সিগনেচার হ্যাশিং অ্যালগরিদম: SHA, MD5, এবং অন্যান্য অথেন্টিকেশন এবং অথরাইজেশন (Authentication and Authorization) অথেন্টিকেশন কী এবং কেন প্রয়োজন পাসওয়ার্ড-ভিত্তিক অথেন্টিকেশন এবং মাল্টি-ফ্যাক্টর অথেন্টিকেশন অথরাইজেশন কী এবং এর প্রকারভেদ এক্সেস কন্ট্রোল: রোল-ভিত্তিক (RBAC) এবং পলিসি-ভিত্তিক (PBAC) নেটওয়ার্ক সিকিউরিটি (Network Security) নেটওয়ার্ক সিকিউরিটি কী এবং এর প্রয়োজনীয়তা ফায়ারওয়াল, IDS (Intrusion Detection System), এবং IPS (Intrusion Prevention System) ভার্চুয়াল প্রাইভেট নেটওয়ার্ক (VPN) এবং এর ব্যবহার নেটওয়ার্ক এনক্রিপশন এবং নিরাপদ যোগাযোগ ওয়েব অ্যাপ্লিকেশন সিকিউরিটি (Web Application Security) SQL ইনজেকশন, ক্রস-সাইট স্ক্রিপ্টিং (XSS), এবং ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF) OWASP টপ ১০ সিকিউরিটি থ্রেটস ওয়েব অ্যাপ্লিকেশনে সিকিউরিটি প্রোটোকল এবং বেস্ট প্র্যাকটিস মোবাইল এবং ক্লাউড সিকিউরিটি (Mobile and Cloud Security) মোবাইল অ্যাপ্লিকেশনের সিকিউরিটি চ্যালেঞ্জ ক্লাউড সিকিউরিটির মৌলিক ধারণা ক্লাউড কম্পিউটিং থ্রেটস এবং নিরাপত্তা ব্যবস্থা ক্লাউড ডেটা এনক্রিপশন এবং মাল্টি-টেন্যান্সি ইস্যু আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (Identity and Access Management - IAM) IAM কী এবং এর ভূমিকা সিঙ্গল সাইন-অন (SSO) এবং ফেডারেটেড আইডেন্টিটি ম্যানেজমেন্ট এক্সেস কন্ট্রোল পলিসি এবং অ্যাক্সেস ম্যানেজমেন্ট রিস্ক ম্যানেজমেন্ট এবং ইনফরমেশন সিকিউরিটি (Risk Management in Information Security রিস্ক কী এবং ইনফরমেশন সিকিউরিটিতে এর গুরুত্ব রিস্ক অ্যাসেসমেন্ট এবং রিস্ক ম্যানেজমেন্ট পদ্ধতি রিস্ক মিটিগেশন এবং কন্টিনজেন্সি প্ল্যানিং সাইবার আইন এবং এর ভূমিকা (Introduction to Cyber Law) সাইবার আইন কী এবং এর প্রয়োজনীয়তা ইন্টারনেট আইন এবং সাইবার অপরাধ সাইবার ক্রাইমের ধরন: ইলেকট্রনিক ফ্রড, হ্যাকিং, আইডেন্টিটি থেফট তথ্য সুরক্ষা আইন এবং নীতিমালা (Information Security Laws and Regulations) GDPR (General Data Protection Regulation) এর ভূমিকা তথ্য সুরক্ষা আইন এবং গোপনীয়তা নীতিমালা ISO 27001 এবং অন্যান্য তথ্য সুরক্ষা স্ট্যান্ডার্ড বাংলাদেশে সাইবার আইন (Cyber Law in Bangladesh) বাংলাদেশে সাইবার আইন এবং সাইবার অপরাধ আইন ডিজিটাল নিরাপত্তা আইন (Digital Security Act) এবং এর প্রয়োগ সাইবার অপরাধের শাস্তি এবং সাইবার অপরাধ নিয়ন্ত্রণ ব্যবস্থা সাইবার অপরাধ এবং আইনি পদক্ষেপ (Cyber Crimes and Legal Actions) সাইবার অপরাধের ধরন: হ্যাকিং, ডাটা থেফট, র‍্যানসমওয়্যার সাইবার অপরাধের প্রতিরোধ এবং আইনি ব্যবস্থা সাইবার অপরাধের শাস্তি এবং প্রয়োগের প্রক্রিয়া ডিজিটাল সাক্ষ্যপ্রমাণ (Digital Evidence) ডিজিটাল সাক্ষ্যপ্রমাণের ধারণা এবং তার গুরুত্ব ইলেকট্রনিক রেকর্ড এবং সাক্ষ্যপ্রমাণ হিসেবে তার প্রয়োগ ডিজিটাল সাক্ষ্যপ্রমাণ সংগ্রহ, সংরক্ষণ, এবং ব্যবহার সাইবার ফ্রড এবং ইলেকট্রনিক ফ্রড (Cyber Fraud and Electronic Fraud) সাইবার ফ্রড এবং তার ধরন ক্রেডিট কার্ড ফ্রড, ফিশিং, এবং ইলেকট্রনিক ফ্রড সাইবার ফ্রডের প্রতিরোধ এবং আইনি পদক্ষেপ ডাটা প্রাইভেসি এবং প্রটেকশন (Data Privacy and Protection) ডাটা প্রাইভেসি এবং গোপনীয়তার ধারণা ডাটা সুরক্ষা আইন এবং এর প্রয়োগ ব্যক্তিগত তথ্য সুরক্ষা এবং এর গুরুত্ব সাইবার সিকিউরিটি অ্যাওয়ারনেস (Cyber Security Awareness) সাধারণ ব্যবহারকারীদের জন্য সাইবার সিকিউরিটি পাসওয়ার্ড ম্যানেজমেন্ট এবং সোশ্যাল ইঞ্জিনিয়ারিং থেকে সুরক্ষা নিরাপদ ব্রাউজিং এবং ব্যক্তিগত তথ্যের সুরক্ষা ফরেনসিক ইনভেস্টিগেশন (Forensic Investigation) সাইবার ফরেনসিক কী এবং এর প্রয়োজনীয়তা ডিজিটাল ফরেনসিক প্রক্রিয়া এবং টুলস ফরেনসিক রিপোর্ট এবং আইনি প্রয়োগ সাইবার সিকিউরিটির ভবিষ্যত (Future of Cyber Security and Law) সাইবার সিকিউরিটির উদ্ভাবনী প্রযুক্তি ব্লকচেইন, এআই এবং ক্লাউডের প্রভাব সাইবার আইন এবং সুরক্ষার ভবিষ্যৎ প্রবণতা

OWASP টপ ১০ সিকিউরিটি থ্রেটস

ওয়েব অ্যাপ্লিকেশন সিকিউরিটি (Web Application Security) - ইনফরমেশন সিকিউরিটি এন্ড সাইবার লঅ (Information Security and Cyber Law) - Computer Science

332
Play Store

OWASP টপ ১০ সিকিউরিটি থ্রেটস

OWASP (Open Web Application Security Project) হল একটি বিশ্বব্যাপী সংস্থা যা ওয়েব অ্যাপ্লিকেশন সুরক্ষা নিয়ে কাজ করে। তারা নিয়মিতভাবে সাইবার সিকিউরিটির বিভিন্ন ঝুঁকির একটি তালিকা প্রকাশ করে, যা ওয়েব অ্যাপ্লিকেশন নিরাপত্তার ক্ষেত্রে সবচেয়ে প্রচলিত এবং গুরুতর হুমকি নির্দেশ করে। নিচে OWASP এর টপ ১০ সিকিউরিটি থ্রেটস এর একটি তালিকা এবং প্রতিটি ঝুঁকের বিস্তারিত আলোচনা করা হলো।

১. ইনজেকশন (Injection)

ইনজেকশন হল একটি নিরাপত্তা ত্রুটি যেখানে আক্রমণকারী অ্যাপ্লিকেশনে ক্ষতিকারক ইনপুট (যেমন SQL, NoSQL, OS কমান্ড, বা LDAP ইনজেকশন) প্রবাহিত করে। এটি ডেটাবেসে অপ্রত্যাশিত এবং ক্ষতিকারক কমান্ড চালানোর সুযোগ সৃষ্টি করে।

২. ক্রেডেনশিয়াল ও সেশন ম্যানেজমেন্ট (Broken Authentication)

ক্রেডেনশিয়াল ও সেশন ম্যানেজমেন্টের ত্রুটি ঘটে যখন ব্যবহারকারীদের লগইন তথ্য (যেমন পাসওয়ার্ড) বা সেশন আইডি সঠিকভাবে সুরক্ষিত হয় না। এর ফলে আক্রমণকারীরা ব্যবহারকারীর অ্যাকাউন্টে প্রবেশাধিকার পেতে পারে।

৩. ক্রস-সাইট স্ক্রিপ্টিং (XSS)

ক্রস-সাইট স্ক্রিপ্টিং (XSS) হল একটি আক্রমণ যেখানে আক্রমণকারী একটি নিরাপদ ওয়েবসাইটে ক্ষতিকারক স্ক্রিপ্ট সন্নিবেশ করে। ব্যবহারকারী যখন এই সাইটে প্রবেশ করে তখন ক্ষতিকারক স্ক্রিপ্টটি চলমান হয় এবং আক্রমণকারী ব্যবহারকারীর তথ্য চুরি করতে পারে।

৪. নিরাপত্তাহীন ডেটা স্টোরেজ (Insecure Direct Object References)

নিরাপত্তাহীন ডেটা স্টোরেজ ঘটে যখন অ্যাপ্লিকেশন ব্যবহারকারীদের প্রাইভেট ডেটা অ্যাক্সেসের জন্য যথাযথ অনুমতি যাচাই করে না। আক্রমণকারী সরাসরি অবজেক্ট রেফারেন্স পরিবর্তন করে গোপন ডেটাতে প্রবেশাধিকার পেতে পারে।

৫. সিকিউরিটি মিসকনফিগারেশন (Security Misconfiguration)

সিকিউরিটি মিসকনফিগারেশন হয় যখন অ্যাপ্লিকেশন বা সার্ভারের নিরাপত্তা সেটিংস সঠিকভাবে কনফিগার করা হয় না। এটি সিস্টেমে অপ্রয়োজনীয় পরিষেবা চালু করা, পুরনো সফটওয়্যার ব্যবহার, বা নিরাপত্তা প্যাচগুলি ইনস্টল না করার ফলে ঘটে।

৬. সংবেদনশীল তথ্য প্রকাশ (Sensitive Data Exposure)

সংবেদনশীল তথ্য প্রকাশ ঘটে যখন সংবেদনশীল তথ্য (যেমন ক্রেডিট কার্ড তথ্য, পাসওয়ার্ড, বা স্বাস্থ্য তথ্য) যথাযথভাবে সুরক্ষিত না হয়। এটি ডেটা চুরি বা অবৈধ প্রবেশাধিকার ঘটাতে পারে।

৭. অ্যাক্সেস কন্ট্রোলের সমস্যা (Missing Function Level Access Control)

অ্যাক্সেস কন্ট্রোলের সমস্যা ঘটে যখন একটি অ্যাপ্লিকেশন ব্যবহারকারীদের নিয়ন্ত্রণ এবং অধিকারগুলি সঠিকভাবে যাচাই করে না। এর ফলে অনুমোদিত ব্যবহারকারীরা প্রশাসনিক ফাংশন বা গোপন তথ্য অ্যাক্সেস করতে পারে।

৮. ক্রস-সাইট রিকোয়েস্ট ফরগারি (CSRF)

ক্রস-সাইট রিকোয়েস্ট ফরগারি (CSRF) হল একটি আক্রমণ যেখানে ব্যবহারকারী তাদের অনিচ্ছাকৃতভাবে একটি অনুরোধ প্রেরণ করে, যা তাদের অ্যাকাউন্টে ক্ষতিকারক কার্যক্রম ঘটায়। আক্রমণকারী একটি সাইটের লিঙ্কে ক্লিক করানোর মাধ্যমে ব্যবহারকারীর অনুমতি ছাড়া অ্যাকাউন্টে পরিবর্তন ঘটাতে পারে।

৯. ব্যবহারকারী ইনপুট সঠিকভাবে যাচাই না করা (Using Components with Known Vulnerabilities)

ব্যবহারকারী ইনপুট সঠিকভাবে যাচাই না করা ঘটে যখন অ্যাপ্লিকেশন ডিফল্ট বা নিরাপত্তাহীন কনফিগারেশন সহ সিস্টেম বা লাইব্রেরি ব্যবহার করে। এটি সিস্টেমকে নিরাপত্তার ঝুঁকিতে ফেলে।

১০. অকার্যকর লগিং এবং মনিটরিং (Insufficient Logging and Monitoring)

অকার্যকর লগিং এবং মনিটরিং হয় যখন একটি অ্যাপ্লিকেশন সঠিকভাবে লগিং বা পর্যবেক্ষণ করে না। এটি আক্রমণের ঘটনার সনাক্তকরণ এবং সেগুলির জন্য প্রতিরোধমূলক ব্যবস্থা গ্রহণে বাধা সৃষ্টি করে।

সারসংক্ষেপ

OWASP টপ ১০ সিকিউরিটি থ্রেটস একটি গুরুত্বপূর্ণ গাইডলাইন যা নিরাপত্তা বিশ্লেষক, ডেভেলপার এবং সংস্থাগুলিকে নিরাপত্তা দুর্বলতা সনাক্ত এবং প্রতিরোধ করতে সহায়ক। প্রতিটি থ্রেটের সাথে সম্পর্কিত সুরক্ষা ব্যবস্থা গ্রহণ করে নিরাপত্তা ঝুঁকি কমানো সম্ভব। নিরাপত্তা সুরক্ষা নিশ্চিত করার জন্য নিয়মিত নিরাপত্তা অডিট এবং সর্বশেষ নিরাপত্তা প্যাচ প্রয়োগ করা গুরুত্বপূর্ণ।

Content added By
Azizar Rahman Aziz

Read more

SQL ইনজেকশন, ক্রস-সাইট স্ক্রিপ্টিং (XSS), এবং ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF) ওয়েব অ্যাপ্লিকেশনে সিকিউরিটি প্রোটোকল এবং বেস্ট প্র্যাকটিস

or

Don't have an account? Register

Promotion

Satt AI

Are you sure to start over?