Cross-Site Scripting (XSS) এবং SQL Injection হল দুটি সাধারণ এবং বিপজ্জনক সাইবার আক্রমণ যা ওয়েব অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে। এই ধরনের আক্রমণ ব্যবহার করে আক্রমণকারী অ্যাপ্লিকেশনের ডেটা বা ব্যবহারকারীর তথ্য চুরি করতে পারে বা সিস্টেমে ক্ষতিকর কোড প্রয়োগ করতে পারে। তবে, কিছু সুরক্ষা কৌশল এবং কোডিং শুদ্ধতা অনুসরণ করে এই ধরনের আক্রমণ থেকে ওয়েব অ্যাপ্লিকেশনকে সুরক্ষিত রাখা সম্ভব। চলুন, XSS এবং SQL Injection সম্পর্কে বিস্তারিত জানি এবং কীভাবে প্রতিরোধ করা যায় তা আলোচনা করি।
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) একটি নিরাপত্তা দুর্বলতা যা ওয়েব অ্যাপ্লিকেশনের মাধ্যমে আক্রমণকারীরা ক্ষতিকর স্ক্রিপ্ট ইনজেক্ট করে। এই স্ক্রিপ্টটি ব্যবহারকারীর ব্রাউজারে রান হয় এবং এটি ব্যবহারকারীর তথ্য চুরি করতে, session hijacking বা অন্যান্য ক্ষতিকর কার্যক্রম করতে পারে।
XSS এর প্রকারভেদ:
- Stored XSS (Persistent XSS): এখানে আক্রমণকারী ক্ষতিকর স্ক্রিপ্টকে সার্ভারে সংরক্ষণ করে, যা পরবর্তীতে সাইটের অন্য ব্যবহারকারীদের কাছে প্রদর্শিত হয়।
- Reflected XSS: আক্রমণকারী একটি URL বা লিঙ্কের মাধ্যমে ক্ষতিকর স্ক্রিপ্ট পাঠায়, যা ব্যবহারকারী ক্লিক করলে তার ব্রাউজারে চলে যায়।
- DOM-based XSS: এখানে স্ক্রিপ্টটি শুধুমাত্র ব্রাউজারের DOM (Document Object Model) পরিবর্তন করে এবং কোনো সার্ভারের সাথে যোগাযোগ না করেও অ্যাক্টিভেট হয়।
XSS প্রতিরোধের কৌশল:
Input Validation and Output Encoding: ব্যবহারকারীর ইনপুট যাচাই করা এবং স্ক্রিপ্টিং এলিমেন্ট যেমন
<script>,<iframe>,<img>ইত্যাদি ফিল্টার করা। এছাড়া, আউটপুটের সময়, ব্যবহারকারীর ইনপুটকে এনকোড করা উচিত।উদাহরণ (HTML এ আউটপুট এনকোডিং):
<div>Welcome, <?= htmlspecialchars($user_input) ?></div>- Content Security Policy (CSP): CSP ব্যবহারের মাধ্যমে সাইটের জন্য নির্দিষ্ট স্ক্রিপ্টের উৎস অনুমোদিত করা যেতে পারে। এতে কোনো অজানা উৎস থেকে স্ক্রিপ্ট লোড হতে পারে না।
- HTTPOnly এবং Secure Cookie Flags: কোکیগুলিকে HTTPOnly এবং Secure ফ্ল্যাগের সাথে ব্যবহার করা উচিত, যাতে আক্রমণকারী JavaScript এর মাধ্যমে কোকিতে প্রবেশ করতে না পারে।
- Cross-Origin Resource Sharing (CORS) policy: শুধুমাত্র অনুমোদিত ডোমেইন থেকে রিসোর্স অ্যাক্সেস করা নিশ্চিত করুন।
SQL Injection
SQL Injection একটি দুর্বলতা যা ওয়েব অ্যাপ্লিকেশনের SQL ডেটাবেস কোয়েরিতে ইনপুট ইনজেকশন করে। আক্রমণকারী ক্ষতিকর SQL কোড ব্যবহার করে ডেটাবেসের ডেটা চুরি বা মডিফাই করতে পারে অথবা অ্যাপ্লিকেশনকে হাইজ্যাক করতে পারে।
SQL Injection এর ধরন:
- In-Band SQL Injection: আক্রমণকারী সরাসরি অ্যাপ্লিকেশন থেকে SQL আউটপুট পায়।
- Blind SQL Injection: আক্রমণকারী সরাসরি আউটপুট না পেলেও ইনপুটের ভিত্তিতে কোয়েরির কার্যকারিতা অনুমান করে আক্রমণ চালায়।
SQL Injection প্রতিরোধের কৌশল:
Prepared Statements (Parameterized Queries): SQL কোডে ডাইনামিক ইনপুট যোগ করার সময় prepared statements বা parameterized queries ব্যবহার করা উচিত। এটি SQL কোড থেকে ইনপুট আলাদা করে, যা SQL ইনজেকশন প্রতিরোধে সহায়ক।
উদাহরণ (PHP Prepared Statement):
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?"); $stmt->bind_param("s", $username); $stmt->execute();- Stored Procedures: স্টোরড প্রোসিডিওর ব্যবহার করার মাধ্যমে SQL কোড এবং ডেটার মধ্যে পরিষ্কার পার্থক্য বজায় রাখা হয়। তবে, যেকোনো ইনপুট ভালভাবে যাচাই করতে হবে।
- Input Validation: ব্যবহারকারীর ইনপুট যাচাই করা অত্যন্ত গুরুত্বপূর্ণ। শুধুমাত্র অনুমোদিত ডেটা যেমন সংখ্যা, অক্ষর, ইমেইল ঠিকানা ইত্যাদি গ্রহণ করা উচিত এবং SQL কোয়েরিতে ব্যবহার করার আগে ইনপুটে কোনো অবৈধ চিহ্ন বা কনটেন্ট থাকলে তা ফিল্টার করা উচিত।
- Least Privilege Principle: ডাটাবেস ব্যবহারকারীদের জন্য যথাযথ পারমিশন নির্ধারণ করুন, যাতে তারা শুধুমাত্র প্রয়োজনীয় ডেটাবেস অ্যাক্সেসই পায়। এটি আক্রমণকারীর জন্য ডেটাবেসের ক্ষতি সীমিত করে।
- Error Handling: SQL ইনজেকশন আক্রমণের সময় ডেটাবেসের ত্রুটি বা স্ট্যাক ট্রেস ব্যবহারকারীদের সামনে দেখানো উচিত নয়। সঠিক ত্রুটি মেসেজ প্রদর্শন করতে এবং লোগ ফাইল ব্যবহার করতে হবে।
সারসংক্ষেপ
Cross-Site Scripting (XSS) এবং SQL Injection দুটি নিরাপত্তা দুর্বলতা যা সঠিকভাবে প্রতিরোধ না করা হলে গুরুতর ক্ষতি করতে পারে। সঠিক ইনপুট ভ্যালিডেশন, আউটপুট এনকোডিং, SQL কোড প্যারামিটারাইজেশন, এবং অন্যান্য সুরক্ষা কৌশল ব্যবহার করে এই ধরনের আক্রমণ থেকে ওয়েব অ্যাপ্লিকেশনকে সুরক্ষিত রাখা সম্ভব। যথাযথ নিরাপত্তা ব্যবস্থাপনা ও কোডিং প্র্যাকটিস অনুসরণ করে আপনি আপনার ওয়েব অ্যাপ্লিকেশনকে এসব আক্রমণের থেকে সুরক্ষিত রাখতে পারবেন।
Read more
