ক্লিকজ্যাকিং, পেস্টজ্যাকিং এবং সেলফ-এক্সএসএস আক্রমণের সমন্বয়ে “এক্সএসএসজ্যাকিং” নামে নতুন আক্রমণ আবিষ্কার করা হয়েছে

0 comment 101 views

“এক্সএসএসজ্যাকিং” নামে একটি নতুন অ্যাটাক পদ্ধতি যা নিরাপত্তা গবেষক ডিলান আইরে দ্বারা আবিষ্কৃত এক ধরনের ওয়েব অ্যাপ্লিকেশন ক্লিকজ্যাকিং, পেস্টজ্যাকিং এবং সেলফ-এক্সএসএস  ওয়েব অ্যাপ্লিকেশন ভিত্তিক অ্যাটাক ।

বিশেষ পৃষ্ঠায় বিদ্যমান ক্লিকজ্যাকিং দুর্বলতা থাকাকালীন , এই আক্রমণটি সেলফ-এক্সএসএসকে ট্রিগার করবে।

“সেল্ফ – এক্সএসএস হল একটি সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক যা ভিকটিমদের ওয়েব অ্যাকাউন্টের নিয়ন্ত্রণ পেতে ব্যবহৃত হয়৷ একটি সেলফ – এক্সএসএস আক্রমণে, আক্রমণের শিকার ব্যক্তি ঘটনাক্রমে তার নিজের ওয়েব ব্রাউজারে দূষিত কোড চালায়, এইভাবে এটি আক্রমণকারীর কাছে প্রকাশ করে 

ক্লিকজ্যাকিং অ্যাটাক তখন সঞ্চালিত হয় যখন কোনো আক্রমণকারী কোনো ব্যবহারকারীকে একটি বোতামে ক্লিক করতে বা অন্য পৃষ্ঠার লিঙ্কে ক্লিক করার জন্য প্রতারণা করে যখন তারা শীর্ষ স্তরের পৃষ্ঠায় ক্লিক করতে চায়।

এইভাবে, আক্রমণকারী হল ” হাইজ্যাকিং ” ক্লিকগুলিকে বোঝায় তাদের পৃষ্ঠার জন্য এবং সেগুলিকে অন্য পৃষ্ঠায় রাউট করা, সম্ভবত অন্য অ্যাপ্লিকেশন, ডোমেইন বা উভয়ের মালিকানাধীন৷

কিভাবে “XSSJacking” কাজ করে

গবেষক “XSSJacking” সম্পর্কে ব্যাখ্যা করেছেন ,

এই আক্রমণটি পেস্টজ্যাকিং ব্যবহার করে ব্যবহারকারীদের অন্য ডোমেন থেকে তৈরি করা টেক্সট ফিল্ডে XSS পেলোড পেস্ট করতে বাধ্য করে। এই ফ্রেমগুলি সমাধান করা যেতে পারে, অদৃশ্য করা যেতে পারে এবং অন্যান্য UI উপাদানগুলির উপরে ওভারলে করা যেতে পারে, ব্যবহারকারীকে মনে করে যে তারা অন্য ওয়েবসাইটের সাথে ইন্টারঅ্যাক্ট করছে৷

চারণ

আমরা ” পেস্টজ্যাকিং অ্যাটাক” দ্বারা এই দুর্বলতা পরীক্ষা করছি যা শিকারকে ইমেল ঠিকানাটি টাইপ করার পরিবর্তে অনুলিপি করার অনুমতি দেয় এবং পরীক্ষা ফোরাম নিবন্ধন পৃষ্ঠায় এটি পাস করে, আপনি একটি “আপনার ইমেল লিখুন” ক্ষেত্র এবং একটি “আপনার ইমেল পুনরায় টাইপ করুন” ক্ষেত্র রাখুন৷

এই ডেমো চেষ্টা করুন

অধিকাংশ মানুষ, “ দ্বিতীয় ক্ষেত্রে কপি-পেস্ট করুন”  অজান্তেই ক্ষতিকারক ওয়েবসাইট তার কপি-পেস্ট টেক্সটের পরে দূষিত কোড যুক্ত করেছে এবং এটি তার গুড ওয়েবসাইট সেটিংস পৃষ্ঠায় সন্নিবেশ করেছে।

“কপি করার পর, তাদের ক্লিপবোর্ডের বিষয়বস্তু ওভাররাইট হয়ে যায়<script>সতর্কতা(1)</script>

আপাতদৃষ্টিতে নির্দোষ কমান্ড চালানোর জন্য ব্যবহারকারীদের প্রলুব্ধ করতে এই পদ্ধতিটিকে ফিশিং আক্রমণের সাথে একত্রিত করা যেতে পারে।

দূষিত কোডটি নির্দোষ কোডটিকে ওভাররাইড করবে, এবং আক্রমণকারী ব্যবহারকারীর হোস্টে রিমোট কোড এক্সিকিউশন লাভ করতে পারে যদি ব্যবহারকারী টার্মিনালে বিষয়বস্তু পেস্ট করে, গবেষক বলেছেন

XSSJacking আক্রমণ, একজন দূষিত অভিনেতা কুকি, ইনবক্স বার্তা, প্রোফাইল সেটিংস (ফোন নম্বর, ইমেল, ইত্যাদি) পরিবর্তন করতে, প্রোফাইলের বিবরণ চুরি করতে, বা অন্যান্য দূষিত ক্রিয়া সম্পাদন করতে পারে।

“এক্সএসএসজ্যাকিং ছিল দুটি সমস্যাকে এমনভাবে চেইন করার একটি উপায় যাতে ব্যবহারকারীরা নিজেরাই XSS-এ অবিশ্বাস্য লগ ইন করেছেন,” আইরে বলেছেন।

Related Posts

Leave a Comment

* By using this form you agree with the storage and handling of your data by this website.

সদাই একাডেমি
সদাই একাডেমি একটি অনলাইন ভিডিও শেখার প্ল্যাটফর্ম। এথিক্যাল হ্যাকিং, এসইও, ওয়েব ডেভেলপিং শিখুন

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy
error: checked
UA-200779953-1