আইটি শিক্ষা মেনু

এসকিউএল ইনজেকশন ও অ্যাডমিন বাইপাস

কাদের জন্য এই পোষ্টটি
যারা নতুন ওয়েব ডেভেলপমেন্ট করছেন এবং ওয়েব সিকিউরিটি নিয়ে জানতে আগ্রহী তাদের জন্য এই পোষ্ট। এই পোষ্টটি ডড়ার জন্য কোন প্রকার প্রোগামিং ল্যাংগুয়েজ জানার প্রয়োজন নেই। তবে বেসিক পিএইচপি এসকিউএল, গুগল সার্চ সম্পর্কে জানলে খুব সহজেই নিজেকে আরও উন্নত করতে পারবেন ।

ওয়েবসাইটের পরিমান নিয়মিত হারে বাড়ছে। সেই সাথে বাড়ছে ওয়েব ডিজাইনার ও ওয়েব ডেভেলপমেন্ট কোম্পানির সংখ্যা। সবাই ওয়েব ডিজাইন ও ডেভেলপমেন্ট করলেও অনেকেই ওয়েব সাইটের বেসিক সিকিউরিটির বিষয়টিও জানেন না। ওয়েব সিকিউরিটির বিভিন্ন বিষয় নিয়ে আমি নিয়মিত আলোচনা করার চেষ্টা করবো । আজকে একটি মৌলিক বিষয় নিয়ে আলোচনা করার চেষ্টা করব । তা হচ্ছে এসকিউএল ইনজেকশন ।

এসকিউএল ইন্জেকশন কি ?
এসকিউএল হচ্ছে স্ট্রাকচারড কুয়েরি ল্যাংগুয়েজ । নিদির্ষ্ট কমান্ড ব্যবহার করে ডাটাবেজ যুক্ত সাইট থেকে ডাটা অনুসন্ধান করাই হচ্ছে এসকিউএল এর কাজ । কিছু কোডের ভুলের কারনে অনুসন্ধান প্রক্রিয়াটি ব্যবহার করে সাইটের মধ্যে অনুপ্রবেশ করা,সাইটের তথ্য চুরি করার জন্য এসকিউএল ইন্জেকশন ব্যবহার করা হয়। এখানে মনে রাখা উচিত এসকিউএল ইন্জেকশন ও হচ্ছে একপ্রকার এসকিউএল কমান্ড। এসকিউএল এরর(ERROR) যুক্ত সাইটে এসকিউএল ইন্জেকশন কাজ করে।

এসকিউএল এরর থাকলে কি কি সমস্যা হতে পারে ?

এসকিউএল এরর যুক্ত সাইটের অনধিকার প্রবেশ করা খুবই সহজ। বিগত বছরগুলো উল্লেখযোগ্য কিছু ক্ষতি যা এসকিউএল এরর এর কারনে হযেছিল তা তুলে ধরছি।

  • জুলাই ২০১২ সালে ইয়াহু নিশ্চিত করে প্রায় ৪ মিলিয়ন অ্যাকাউন্ট ক্ষতিগ্রস্থ হয়।
  • জুন ২০১১ সালে -হেক্টিভিষ্ট ‘Lulzsec’ সনির ওয়েবসাইটের নিরাপত্তা বিঘ্নিত করে
  • মে-২০১১ এ কমেডো ব্রাজিল এর নিরাপত্তা হুমকির মুখে পড়ে।
  • মার্চ ২০১১ তে মাইএসকিউএল এর অফিশিয়াল পেইজ নভেম্বর ২০১০ এ রয়েল নেভির ওয়েবসাইট
  • ২০০৯ এর জানুয়ারিতে হার্টল্যান্ড পেমেন্ট সিস্টেম ক্ষতিগ্রস্ত হয়।
  • ২০০৭ এর জুন এ মাইক্রোসফট এর অফিশিয়াল ওযেবসাইট ডিফেইসড হয়।
  • ছোট একটি এসকিউএল কমান্ড হয়ে যেতে পারে আপনার সাইটের নিরাপত্তা বিঘ্নিত হওয়ার কারণ। এসকিউএল ইনজেকশন এর অনেকগুলো ধাপের মধ্যে আজকে যেই বিষয় নিয়ে আলোচনা করা হবে তা হচ্ছে অ্যাডমিন প্যানেল বাইপাস।

এডমিন প্যানেল বাইপাস কি ??

প্রত্যেকটি ডাটাবেজযুক্ত সাইটের একটি নিদির্ষ্ট অ্যাডমিন প্যানেল । সেখানে অ্যাডমিন ব্যবহার কারীর নাম এবং পাসওয়ার্ড প্রবেশ করে ব্যবহারকারীকে সাইটের নিদিষ্র্ট অ্যাডমিন প্যানেল এ প্রবেশ করতে হয়। এসকিউএল কমান্ড ব্যবহার করে পাসওয়ার্ড না জেনেই অ্যাডমিন প্যানেল এ প্রবেশ করাই হচ্ছে অ্যাডমিন প্যানেল বাইপাস করা ।

কিভাবে অ্যাডমিন প্যানেল বাইপাস করা হয় ?
এসকিউএল এরর যুক্ত সাইটের অ্যাডমিন প্যানেলের ব্যবহারকারীর নাম ও পাসওয়ার্ড এর জায়গায় নিদিষ্র্ট কিছু এসকিউএল কমান্ড যেমন ইউজার নেইম : admin’or 1=1 or ”=’ পাসওয়ার্ড: admin’or 1=1 or ”=’ ব্যবহার করে সাইটের অ্যাডমিন প্যানেল বাইপাস করা হয়। এখানে সবচেয়ে উল্লেখযোগ্য হচ্ছে অ্যাডমিন প্যানেল বাইপাস এর জন্য অবশ্যই এসকিউএল এরর থাকতে হবে।

এসকিউএল অ্যাডমিন বাইপাস কেন হয় এবং কিভাবে হয় ?
নিচের চিত্রটি লক্ষ্য করুন।
sql query of login panel
এটি খুব সাধারণ একটি কোড অ্যাডমিন প্যানেল এর জন্য। এই কোডে বলা হচ্ছে যখন ডাটাবেস এ সংরক্ষিত username ও password এর সাথে মিলে ব্যবহার কারী কর্তৃক পোষ্টকৃত (লগইন ফর্ম এ) username ও password মিলে যাবে তখন অ্যাডমিন প্যানেল এ লগইন হবে । খুব সাধারণ হলেও এই কোডটির দুর্বলতা রয়েছে । আক্রমন কারী যখন আপনার সাইটের পাসওয়ার্ড এর জায়গায় username এর জায়গায় admin’or 1=1 লিখল তাহলে এসকিউএল অনুসন্ধানটি কি হবে ভাবুন। অনুসন্ধানে দেখা যায় username এর জায়গায় প্রথমে Admin বসাবে তাহলে যদি মিলে যায় তাহলে তো ভাল না হলে OR এর পরের কমান্ড এ যাবে যুক্তি দিবে ১=১ যা সবসময়ই সত্য । আবার কোডটি লক্ষ্য করুন, WHERE user='” .$_POST[‘username’] এখানে Where এর পর প্রথম ইউজার যা যেটা লিখা আছে তা হল ডাটাবেসে সংরক্ষিত ইউজারনেইম। পরেরটি হল পোষ্টকৃত ইউজারনেইম । এবার আসুন কাজ কিভাবে করে জেনে নেই। প্রথম অংশ admin। ইউজার নেইম যদি admin হয় তাহলে ডাটাবেসের পরের অংশে যাওয়ার দরকার নেই সে ধারনা করেই আপনার ইউজার নেইম পেয়ে গেছে । যদি অ্যাডমিন না হয় তবে আক্রমনকারী ডাটাবেসকে নির্দেশদিল ১=১ । অর্থ্যাৎ ডাটাবেসের ইউজার আইডি বা নেইম হচ্ছে ১ এবং তার পোষ্টকৃত নেইম হচ্ছে ১।মিলে গেল । আর সাইটের অ্যাডমিন প্যানেল তার অধিকারে চলে গেল। পাসওয়ার্ডও একইভাবে এসকিউএল কমান্ড এর মাধ্যমে এসকিউএলকে বোকা বানায়।

পরবর্তী পোষ্ট : অ্যাডমিন বাইপাস উদাহরণ ও প্রতিরোধ

এই বিষয়ে আপনার মন্তব্য প্রকাশ করুন

কিছুই জানি না । কিছুই পারি না । আইটি শিক্ষার জন্য লিখার চেষ্টা করি

No comments

Leave a Reply

ইমেইলের মাধ্যমে আমাদের পোষ্ট সমুহ পেতে সাবস্ক্রাইব করুন

ফেইসবুকে আমরা