Web Pentesting: আধুনিক ওয়েবসাইটের নিরাপত্তা নিশ্চিত করতে এথিক্যাল হ্যাকারদের ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিংয়ের প্রফেশনাল গাইড!

প্রফেশনাল Web Pentesting একটি কাঠামোগত পদ্ধতি অনুসরণ করে, যা প্রায়ই OWASP Web Security Testing Guide (WSTG) বা PTES (Penetration Testing Execution Standard) মেনে চলে। প্রথম পর্যায় Pre-engagement, যেখানে ক্লায়েন্টের সাথে স্কোপ, টাইমলাইন, এবং Rules of Engagement চূড়ান্ত করা হয়। লিখিত অনুমোদন ছাড়া কোনো টেস্টিং শুরু করা উচিত নয়, কারণ এটি আইনি সমস্যা সৃষ্টি করতে পারে। দ্বিতীয় পর্যায় Information Gathering, যেখানে অ্যাপ্লিকেশন সম্পর্কে যতটুকু সম্ভব তথ্য সংগ্রহ করা হয়।

তৃতীয় পর্যায় Configuration and Deployment Management Testing, যেখানে সার্ভার কনফিগারেশন এবং অবকাঠামোগত নিরাপত্তা পরীক্ষা করা হয়। চতুর্থ পর্যায় Identity Management Testing, যেখানে ইউজার রেজিস্ট্রেশন, পাসওয়ার্ড নীতি, এবং অ্যাকাউন্ট ব্যবস্থাপনার দুর্বলতা পরীক্ষা করা হয়। পঞ্চম পর্যায় Authentication Testing, যেখানে লগইন প্রক্রিয়া এবং সেশন ব্যবস্থাপনার বিরুদ্ধে আক্রমণ চেষ্টা করা হয়। ষষ্ঠ পর্যায় Authorization Testing, যেখানে অ্যাক্সেস কন্ট্রোল বাইপাস এবং প্রিভিলেজ এসকেলেশন পরীক্ষা করা হয়। সপ্তম পর্যায় Input Validation Testing, যা সবচেয়ে গুরুত্বপূর্ণ এবং সময়সাপেক্ষ, যেখানে SQL Injection, XSS, এবং অন্যান্য Injection আক্রমণ পরীক্ষা করা হয়।

Pentesting-এর সাফল্যের ভিত্তি হলো পুঙ্খানুপুঙ্খ Information Gathering। প্রথমে Passive Reconnaissance, যেখানে লক্ষ্যকে সরাসরি স্পর্শ না করে তথ্য সংগ্রহ করা হয়। Google Dorking ব্যবহার করে অ্যাপ্লিকেশনের পাবলিকলি ইনডেক্সড পেজ এবং সংবেদনশীল তথ্য খোঁজা যায়, যেমন "site:example.com filetype:pdf" বা "site:example.com inurl:admin"। Shodan এবং Censys অ্যাপ্লিকেশনের অবকাঠামোগত বিবরণ প্রকাশ করে। Wayback Machine ব্যবহার করে অতীতের সংস্করণ এবং বিলুপ্ত endpoints খুঁজে বের করা যায়।

Active Reconnaissance-এ সরাসরি অ্যাপ্লিকেশনের সাথে যোগাযোগ করা হয়। Subdomain Enumeration টুল যেমন Subfinder, Amass, এবং Sublist3r ব্যবহার করে সমস্ত subdomain খুঁজে বের করা হয়। প্রায়ই ভুলে যাওয়া subdomain-এ পুরনো এবং অসুরক্ষিত অ্যাপ্লিকেশন থাকে। Directory Brute Forcing-এর জন্য Gobuster, FFUF, এবং Dirb ব্যবহার করা হয়। SecLists রিপোজিটরির ওয়ার্ডলিস্ট এই কাজে অপরিহার্য। প্রযুক্তি স্ট্যাক শনাক্তকরণে Wappalyzer, WhatWeb, এবং builtwith.com ব্যবহার করা হয়। JavaScript ফাইলগুলো বিশ্লেষণ করে API endpoints, hardcoded secrets, এবং hidden functionality খুঁজে বের করা যায়। LinkFinder এবং JSScanner এই কাজে সাহায্য করে।

Burp Suite হলো প্রতিটি Web Pentester-এর সবচেয়ে গুরুত্বপূর্ণ টুল। PortSwigger-এর তৈরি এই টুল Community (ফ্রি), Professional, এবং Enterprise সংস্করণে উপলব্ধ। Burp Suite-এর কেন্দ্রে রয়েছে Proxy, যা ব্রাউজার এবং সার্ভারের মধ্যে বসে প্রতিটি HTTP/HTTPS রিকোয়েস্ট ক্যাপচার এবং মডিফাই করে। Proxy ট্যাবে Intercept সক্রিয় করে রিয়েল-টাইম ম্যানিপুলেশন সম্ভব। প্রতিটি ক্যাপচার করা রিকোয়েস্ট HTTP History-তে সংরক্ষিত থাকে।

Repeater মডিউল একটি রিকোয়েস্ট বারবার পাঠিয়ে বিভিন্ন পেলোড পরীক্ষা করার জন্য ব্যবহৃত হয়। Intruder মডিউল স্বয়ংক্রিয় আক্রমণের জন্য, যেমন Brute Force, Fuzzing, এবং Parameter manipulation। বিভিন্ন Attack Type যেমন Sniper, Battering Ram, Pitchfork, এবং Cluster Bomb বিভিন্ন পরিস্থিতিতে কার্যকর। Decoder এবং Comparer সহায়ক টুল। Burp Suite Professional-এ Scanner আছে যা স্বয়ংক্রিয় দুর্বলতা স্ক্যানিং করে। Extender ট্যাবে BApp Store থেকে অসংখ্য কমিউনিটি এক্সটেনশন ইনস্টল করা যায়, যেমন Autorize, Logger++, JSON Web Tokens, এবং Active Scan++। কাস্টম Extension Python (Jython) বা Java-তে লেখা যায়।

OWASP Top 10 হলো ওয়েব অ্যাপ্লিকেশনের সবচেয়ে গুরুত্বপূর্ণ দশটি দুর্বলতার তালিকা, যা প্রতি কয়েক বছর পর পর আপডেট হয়। ২০২১ সংস্করণের শীর্ষে রয়েছে Broken Access Control। এটি ঘটে যখন একজন ব্যবহারকারী এমন রিসোর্সে অ্যাক্সেস পান যা তার পাওয়ার কথা নয়। IDOR (Insecure Direct Object Reference) এর একটি সাধারণ উদাহরণ। দ্বিতীয় হলো Cryptographic Failures, যা পূর্বে Sensitive Data Exposure নামে পরিচিত ছিল। দুর্বল এনক্রিপশন, প্লেইনটেক্স্ট স্টোরেজ, এবং ভুল ক্রিপ্টোগ্রাফিক ইমপ্লিমেন্টেশন এর অন্তর্ভুক্ত।

তৃতীয় হলো Injection, যেখানে SQL Injection, NoSQL Injection, OS Command Injection, এবং LDAP Injection সবই অন্তর্ভুক্ত। চতুর্থ Insecure Design, যা সফটওয়্যার ডিজাইন পর্যায়ের নিরাপত্তা ত্রুটি নির্দেশ করে। পঞ্চম Security Misconfiguration, যেমন ডিফল্ট পাসওয়ার্ড, অপ্রয়োজনীয় ফিচার সক্রিয়, এবং বিস্তারিত ত্রুটি বার্তা। ষষ্ঠ Vulnerable and Outdated Components, যা পুরনো লাইব্রেরি এবং ফ্রেমওয়ার্ক ব্যবহারের কারণে ঘটে। সপ্তম Identification and Authentication Failures। অষ্টম Software and Data Integrity Failures। নবম Security Logging and Monitoring Failures। দশম Server-Side Request Forgery (SSRF), যা ২০২১ সংস্করণে নতুন যোগ হয়েছে।

SQL Injection হলো সবচেয়ে পুরনো এবং সবচেয়ে বিধ্বংসী ওয়েব দুর্বলতা। এটি ঘটে যখন ব্যবহারকারীর ইনপুট সরাসরি SQL কোয়েরিতে যুক্ত হয়, যা আক্রমণকারীকে কোয়েরি ম্যানিপুলেট করতে দেয়। সবচেয়ে সাধারণ ধরন হলো Classic SQL Injection, যেখানে ত্রুটি বার্তা বা ফলাফল সরাসরি প্রদর্শিত হয়। উদাহরণ: একটি লগইন ফর্মে ব্যবহারকারীর নাম হিসেবে admin' OR '1'='1 দিলে এবং অ্যাপ্লিকেশন দুর্বল হলে লগইন সম্ভব হবে।

আরো পরিশীলিত ধরন হলো Blind SQL Injection, যেখানে কোনো সরাসরি প্রতিক্রিয়া পাওয়া যায় না। Boolean-based Blind আক্রমণে আক্রমণকারী TRUE বা FALSE প্রতিক্রিয়ার ভিত্তিতে ডেটা বের করেন। Time-based Blind আক্রমণে SLEEP() ফাংশন ব্যবহার করে প্রতিক্রিয়ার সময় থেকে তথ্য বের করা হয়। UNION-based SQL Injection-এ UNION SELECT ব্যবহার করে অতিরিক্ত ডেটা টেনে আনা হয়। Out-of-Band SQL Injection-এ DNS বা HTTP রিকোয়েস্টের মাধ্যমে ডেটা বের করা হয়। sqlmap হলো SQL Injection শনাক্তকরণ এবং এক্সপ্লয়েট করার সবচেয়ে জনপ্রিয় টুল, যা প্রায় সব ধরনের ডেটাবেস সমর্থন করে। প্রতিরোধের জন্য Parameterized Query বা Prepared Statement ব্যবহার অপরিহার্য।

XSS হলো এমন একটি দুর্বলতা যেখানে আক্রমণকারী ক্ষতিকর JavaScript কোড একজন ব্যবহারকারীর ব্রাউজারে এক্সিকিউট করতে সক্ষম হন। তিনটি প্রধান ধরন রয়েছে: Reflected XSS, Stored XSS, এবং DOM-based XSS। Reflected XSS-এ পেলোড URL বা ফর্ম ইনপুটের মাধ্যমে আসে এবং সরাসরি প্রতিক্রিয়ায় প্রতিফলিত হয়। ভিকটিমকে একটি বিশেষ লিঙ্কে ক্লিক করতে প্ররোচিত করতে হয়। Stored XSS অনেক বেশি বিপজ্জনক, কারণ পেলোড ডাটাবেসে সংরক্ষিত হয় এবং প্রতিটি ভিজিটরের কাছে এক্সিকিউট হয়।

DOM-based XSS ক্লায়েন্ট-সাইড JavaScript কোডে ঘটে, যেখানে সার্ভার থেকে কোনো অস্বাভাবিক প্রতিক্রিয়া আসে না। আধুনিক Single-Page Application-এ এই ধরন বেশি প্রচলিত। XSS শনাক্তকরণে বিভিন্ন পেলোড পরীক্ষা করতে হয়। সবচেয়ে সরল পেলোড <script>alert(1)</script>, কিন্তু আধুনিক ফিল্টার এটি ব্লক করে। PortSwigger-এর XSS Cheat Sheet বিভিন্ন বাইপাস টেকনিক প্রদান করে। XSS-এর প্রভাব ভয়াবহ হতে পারে: সেশন কুকি চুরি, কীলগার ইনস্টলেশন, ফিশিং পেজ ইনজেকশন, এবং ব্রাউজার এক্সপ্লয়েট। প্রতিরোধের জন্য Output Encoding, Content Security Policy (CSP), এবং HTTPOnly cookies অপরিহার্য।

Authentication দুর্বলতা একটি অ্যাপ্লিকেশনের প্রবেশদ্বার ভেঙে দিতে পারে। প্রথমে Brute Force প্রতিরোধ পরীক্ষা করুন, একই IP থেকে দ্রুত একাধিক লগইন চেষ্টা যদি সম্ভব হয়, তাহলে Rate Limiting অনুপস্থিত। Account Enumeration পরীক্ষা করুন, যেখানে ভুল পাসওয়ার্ড এবং অস্তিত্বহীন ইউজারনেমের জন্য ভিন্ন প্রতিক্রিয়া আসে কিনা দেখুন। Password Reset প্রক্রিয়া বিশেষভাবে পরীক্ষা করুন, কারণ এটি প্রায়ই দুর্বল হয়।

Multi-Factor Authentication বাইপাস পরীক্ষা করুন। অনেক অ্যাপ্লিকেশনে OTP যাচাই Server-side হয় না, ফলে Response Manipulation দিয়ে বাইপাস সম্ভব। Session Fixation পরীক্ষা করুন, যেখানে লগইনের আগে এবং পরে Session ID একই থাকে। Session Token-এর Predictability পরীক্ষা করুন, কয়েকটি Token সংগ্রহ করে দেখুন কোনো প্যাটার্ন আছে কিনা। JSON Web Token (JWT) বিশেষভাবে যাচাই করুন: jwt.io ব্যবহার করে Token ডিকোড করুন, "none" algorithm আক্রমণ চেষ্টা করুন, এবং দুর্বল Secret Key Brute Force করার চেষ্টা করুন। Logout এর পর Token কি invalidate হয়? Concurrent session কি allow করা হয়? OAuth এবং SAML ইমপ্লিমেন্টেশনে Open Redirect এবং Token leakage পরীক্ষা করুন।

Authorization দুর্বলতা OWASP Top 10-এর শীর্ষে রয়েছে কারণ এটি ব্যাপক এবং বিধ্বংসী। Insecure Direct Object Reference (IDOR) সবচেয়ে সাধারণ ধরন, যেখানে একজন ব্যবহারকারী URL বা প্যারামিটারে অন্যের রিসোর্স আইডি পাল্টিয়ে অ্যাক্সেস পেতে পারেন। উদাহরণ: যদি /api/user/123/profile আপনার প্রোফাইল দেখায়, তাহলে /api/user/124/profile কি অন্যের প্রোফাইল দেখায়? Burp Suite-এর Autorize Extension এই ধরনের পরীক্ষায় সাহায্য করে।

Horizontal Privilege Escalation-এ একজন ব্যবহারকারী একই স্তরের অন্য ব্যবহারকারীর ডেটা অ্যাক্সেস করেন। Vertical Privilege Escalation-এ একজন সাধারণ ব্যবহারকারী অ্যাডমিন ফিচার অ্যাক্সেস করেন। Function Level Access Control বাইপাস পরীক্ষা করুন: অ্যাডমিন URL সরাসরি ভিজিট করে দেখুন কী হয়। HTTP Method Tampering চেষ্টা করুন: যদি GET ব্লক করা হয়, POST, PUT, বা DELETE কি কাজ করে? Mass Assignment আক্রমণে ব্যবহারকারী API রিকোয়েস্টে অতিরিক্ত প্যারামিটার যোগ করে গোপন ফিল্ড সেট করতে পারেন, যেমন is_admin=true। GraphQL endpoint-এ Introspection Query চালিয়ে সম্পূর্ণ Schema বের করা যায়, যা hidden functionality প্রকাশ করতে পারে।

আধুনিক ওয়েব অ্যাপ্লিকেশন প্রায়ই REST বা GraphQL API-এর উপর নির্মিত। API testing-এর জন্য Postman, Burp Suite, এবং RESTler ব্যবহৃত হয়। OWASP API Security Top 10 API-নির্দিষ্ট দুর্বলতা চিহ্নিত করে। Broken Object Level Authorization (BOLA) API-তে IDOR-এর সমতুল্য। Excessive Data Exposure যেখানে API প্রয়োজনের চেয়ে বেশি তথ্য ফেরত দেয়। Rate Limiting অনুপস্থিতি API-তে সাধারণ সমস্যা।

Server-Side Request Forgery (SSRF) আধুনিক ক্লাউড পরিবেশে বিশেষভাবে বিপজ্জনক। আক্রমণকারী সার্ভারকে অভ্যন্তরীণ রিসোর্সে রিকোয়েস্ট পাঠাতে বাধ্য করেন, যা AWS Metadata Service (169.254.169.254), অভ্যন্তরীণ admin পোর্টাল, বা ক্লাউড API অ্যাক্সেস দিতে পারে। SSRF থেকে কেপিটাল ওয়ান ডেটা ব্রিচের মতো বিশাল ঘটনা ঘটেছে। XML External Entity (XXE) Injection XML পার্সারের দুর্বলতা ব্যবহার করে। Server-Side Template Injection (SSTI) Jinja2, Twig, এবং অন্যান্য টেমপ্লেট ইঞ্জিনে কোড এক্সিকিউশন সম্ভব করে। Deserialization Vulnerability জাভা, পাইথন, এবং .NET অ্যাপ্লিকেশনে গভীর প্রভাব ফেলতে পারে। WebSocket এবং HTTP/2-নির্দিষ্ট আক্রমণ যেমন Request Smuggling নতুন ভেক্টর প্রদান করে।

একটি ভালো Pentest রিপোর্ট প্রযুক্তিগত এবং ব্যবসায়িক উভয় দর্শকের জন্য বোধগম্য হওয়া উচিত। Executive Summary-তে সামগ্রিক ঝুঁকি স্তর, প্রধান আবিষ্কার, এবং সুপারিশ থাকে। প্রতিটি দুর্বলতার জন্য বিস্তারিত বিবরণ, প্রভাব মূল্যায়ন (CVSS স্কোর), Proof of Concept (স্ক্রিনশট এবং HTTP রিকোয়েস্ট সহ), এবং সমাধান প্রস্তাবনা থাকতে হবে। CWE নম্বর এবং OWASP রেফারেন্স যোগ করুন। Retest সেকশনে যাচাই করুন আগের সুপারিশ বাস্তবায়িত হয়েছে কিনা।

প্রফেশনাল Pentesting-এর জন্য কিছু Best Practice অনুসরণ করুন। প্রথমত, সর্বদা লিখিত অনুমোদন নিন এবং স্কোপের বাইরে কখনোই যাবেন না। দ্বিতীয়ত, একটি নিরাপদ পরীক্ষা পরিবেশ তৈরি করুন এবং প্রোডাকশন ডেটা ক্ষতিগ্রস্ত হওয়ার ঝুঁকি কমান। তৃতীয়ত, অটোমেটেড স্ক্যান এবং ম্যানুয়াল টেস্টিং উভয়ই ব্যবহার করুন। চতুর্থত, ক্রমাগত শিখতে থাকুন, কারণ নতুন আক্রমণ টেকনিক নিয়মিত উদ্ভাবিত হচ্ছে। PortSwigger Web Security Academy, HackTheBox, এবং TryHackMe-এর মতো প্ল্যাটফর্মে অনুশীলন করুন। OSCP, OSWE, এবং OffSec-এর অন্যান্য সার্টিফিকেশন প্রফেশনাল ক্যারিয়ারে গুরুত্বপূর্ণ। Bug Bounty প্রোগ্রামে অংশগ্রহণ করে রিয়েল-ওয়ার্ল্ড অভিজ্ঞতা অর্জন করুন।