ক্লিকজ্যাকিং, পেস্টজ্যাকিং এবং সেলফ-এক্সএসএস আক্রমণের সমন্বয়ে “এক্সএসএসজ্যাকিং” নামে নতুন আক্রমণ আবিষ্কার করা হয়েছে

“এক্সএসএসজ্যাকিং” নামে একটি নতুন অ্যাটাক পদ্ধতি যা নিরাপত্তা গবেষক ডিলান আইরে দ্বারা আবিষ্কৃত এক ধরনের ওয়েব অ্যাপ্লিকেশন ক্লিকজ্যাকিং, পেস্টজ্যাকিং এবং সেলফ-এক্সএসএস  ওয়েব অ্যাপ্লিকেশন ভিত্তিক অ্যাটাক ।

বিশেষ পৃষ্ঠায় বিদ্যমান ক্লিকজ্যাকিং দুর্বলতা থাকাকালীন , এই আক্রমণটি সেলফ-এক্সএসএসকে ট্রিগার করবে।

“সেল্ফ – এক্সএসএস হল একটি সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক যা ভিকটিমদের ওয়েব অ্যাকাউন্টের নিয়ন্ত্রণ পেতে ব্যবহৃত হয়৷ একটি সেলফ – এক্সএসএস আক্রমণে, আক্রমণের শিকার ব্যক্তি ঘটনাক্রমে তার নিজের ওয়েব ব্রাউজারে দূষিত কোড চালায়, এইভাবে এটি আক্রমণকারীর কাছে প্রকাশ করে “

ক্লিকজ্যাকিং অ্যাটাক তখন সঞ্চালিত হয় যখন কোনো আক্রমণকারী কোনো ব্যবহারকারীকে একটি বোতামে ক্লিক করতে বা অন্য পৃষ্ঠার লিঙ্কে ক্লিক করার জন্য প্রতারণা করে যখন তারা শীর্ষ স্তরের পৃষ্ঠায় ক্লিক করতে চায়।

এইভাবে, আক্রমণকারী হল ” হাইজ্যাকিং ” ক্লিকগুলিকে বোঝায় তাদের পৃষ্ঠার জন্য এবং সেগুলিকে অন্য পৃষ্ঠায় রাউট করা, সম্ভবত অন্য অ্যাপ্লিকেশন, ডোমেইন বা উভয়ের মালিকানাধীন৷

কিভাবে “XSSJacking” কাজ করে

গবেষক “XSSJacking” সম্পর্কে ব্যাখ্যা করেছেন ,

এই আক্রমণটি পেস্টজ্যাকিং ব্যবহার করে ব্যবহারকারীদের অন্য ডোমেন থেকে তৈরি করা টেক্সট ফিল্ডে XSS পেলোড পেস্ট করতে বাধ্য করে। এই ফ্রেমগুলি সমাধান করা যেতে পারে, অদৃশ্য করা যেতে পারে এবং অন্যান্য UI উপাদানগুলির উপরে ওভারলে করা যেতে পারে, ব্যবহারকারীকে মনে করে যে তারা অন্য ওয়েবসাইটের সাথে ইন্টারঅ্যাক্ট করছে৷

চারণ

আমরা ” পেস্টজ্যাকিং অ্যাটাক” দ্বারা এই দুর্বলতা পরীক্ষা করছি যা শিকারকে ইমেল ঠিকানাটি টাইপ করার পরিবর্তে অনুলিপি করার অনুমতি দেয় এবং পরীক্ষা ফোরাম নিবন্ধন পৃষ্ঠায় এটি পাস করে, আপনি একটি “আপনার ইমেল লিখুন” ক্ষেত্র এবং একটি “আপনার ইমেল পুনরায় টাইপ করুন” ক্ষেত্র রাখুন৷

এই ডেমো চেষ্টা করুন

অধিকাংশ মানুষ, “ দ্বিতীয় ক্ষেত্রে কপি-পেস্ট করুন”  অজান্তেই ক্ষতিকারক ওয়েবসাইট তার কপি-পেস্ট টেক্সটের পরে দূষিত কোড যুক্ত করেছে এবং এটি তার গুড ওয়েবসাইট সেটিংস পৃষ্ঠায় সন্নিবেশ করেছে।

“কপি করার পর, তাদের ক্লিপবোর্ডের বিষয়বস্তু ওভাররাইট হয়ে যায়<script>সতর্কতা(1)</script>

আপাতদৃষ্টিতে নির্দোষ কমান্ড চালানোর জন্য ব্যবহারকারীদের প্রলুব্ধ করতে এই পদ্ধতিটিকে ফিশিং আক্রমণের সাথে একত্রিত করা যেতে পারে।

দূষিত কোডটি নির্দোষ কোডটিকে ওভাররাইড করবে, এবং আক্রমণকারী ব্যবহারকারীর হোস্টে রিমোট কোড এক্সিকিউশন লাভ করতে পারে যদি ব্যবহারকারী টার্মিনালে বিষয়বস্তু পেস্ট করে, গবেষক বলেছেন

XSSJacking আক্রমণ, একজন দূষিত অভিনেতা কুকি, ইনবক্স বার্তা, প্রোফাইল সেটিংস (ফোন নম্বর, ইমেল, ইত্যাদি) পরিবর্তন করতে, প্রোফাইলের বিবরণ চুরি করতে, বা অন্যান্য দূষিত ক্রিয়া সম্পাদন করতে পারে।

“এক্সএসএসজ্যাকিং ছিল দুটি সমস্যাকে এমনভাবে চেইন করার একটি উপায় যাতে ব্যবহারকারীরা নিজেরাই XSS-এ অবিশ্বাস্য লগ ইন করেছেন,” আইরে বলেছেন।