Web Security: সাইবার স্পেসে হ্যাকারদের নিত্যনতুন আক্রমণ থেকে আপনার কর্পোরেট ওয়েবসাইট সুরক্ষিত রাখার পূর্ণাঙ্গ সাইবার নিরাপত্তা গাইডলাইন!

আধুনিক Web Security-র মূল দর্শন হলো Defense in Depth, যেখানে একাধিক স্তরের নিরাপত্তা ব্যবস্থা একসাথে কাজ করে। কোনো একটি স্তর ব্যর্থ হলে অন্যান্য স্তর প্রতিরক্ষা বজায় রাখে। সবচেয়ে বাইরের স্তরে থাকে DNS এবং Network Security, যা DDoS protection এবং Traffic Filtering প্রদান করে। এর ভিতরে Web Application Firewall (WAF) Layer 7 আক্রমণ ব্লক করে। তারপর Load Balancer এবং Reverse Proxy ট্র্যাফিক বিতরণ এবং অতিরিক্ত নিরাপত্তা প্রদান করে।

ওয়েব সার্ভার পর্যায়ে নিরাপদ কনফিগারেশন, প্যাচ ম্যানেজমেন্ট, এবং Hardening অপরিহার্য। অ্যাপ্লিকেশন স্তরে Secure Coding Practice, Input Validation, এবং Authentication/Authorization কন্ট্রোল প্রয়োজন। ডেটাবেস স্তরে Access Control, Encryption at Rest, এবং Audit Logging থাকতে হবে। অবকাঠামোগত স্তরে Network Segmentation, Intrusion Detection, এবং SIEM মনিটরিং বাধ্যতামূলক। সবশেষে মানব স্তরে নিয়মিত প্রশিক্ষণ, সিকিউরিটি অ্যাওয়ারনেস, এবং Incident Response পরিকল্পনা থাকতে হবে। প্রতিটি স্তর স্বাধীনভাবে কাজ করে কিন্তু একে অপরকে সমর্থন করে, যা সামগ্রিক নিরাপত্তা বৃদ্ধি করে।

আধুনিক ওয়েবসাইটে HTTPS এখন বিকল্প নয়, বাধ্যতামূলক। HTTP-এর উপর প্রেরিত ডেটা যেকোনো মধ্যবর্তী নোড দ্বারা পড়া বা পরিবর্তন করা যায়, যা পাবলিক ওয়াইফাইতে বিশেষভাবে বিপজ্জনক। TLS (Transport Layer Security) এনক্রিপশন প্রদান করে এবং Man-in-the-Middle আক্রমণ প্রতিরোধ করে। Let's Encrypt-এর মতো ফ্রি Certificate Authority থেকে সার্টিফিকেট পাওয়া যায়, ফলে HTTPS ব্যবহার না করার কোনো ন্যায্যতা নেই।

তবে শুধু HTTPS চালু করলেই যথেষ্ট নয়, সঠিক কনফিগারেশন গুরুত্বপূর্ণ। TLS 1.0 এবং 1.1 এখন অপ্রচলিত এবং অনিরাপদ, শুধু TLS 1.2 এবং TLS 1.3 সক্রিয় রাখুন। দুর্বল cipher suite যেমন RC4, DES, এবং MD5 ভিত্তিক ডিজেবল করুন। SSL Labs (ssllabs.com/ssltest) ব্যবহার করে কনফিগারেশন পরীক্ষা করুন, A+ গ্রেড লক্ষ্য রাখুন। HSTS (HTTP Strict Transport Security) হেডার যোগ করুন যাতে ব্রাউজার সর্বদা HTTPS ব্যবহার করে। preload list-এ আপনার ডোমেইন যুক্ত করুন। Certificate Transparency মনিটরিং করুন যাতে অননুমোদিত সার্টিফিকেট জারি হলে অবহিত হন। Mixed Content এড়িয়ে চলুন, HTTPS পেজে HTTP রিসোর্স লোড করলে নিরাপত্তা ক্ষুণ্ন হয়।

আধুনিক ব্রাউজারগুলো বিভিন্ন HTTP হেডারের মাধ্যমে অতিরিক্ত নিরাপত্তা ফিচার সক্ষম করতে পারে। Content Security Policy (CSP) সবচেয়ে শক্তিশালী হেডার, যা XSS এবং Data Injection আক্রমণ প্রতিরোধে অত্যন্ত কার্যকর। CSP-র মাধ্যমে নির্দিষ্ট করা যায় কোন উৎস থেকে JavaScript, CSS, ইমেজ, এবং অন্যান্য রিসোর্স লোড করা যাবে। সঠিকভাবে কনফিগার করা CSP inline script এবং eval() ব্লক করে, যা সবচেয়ে সাধারণ XSS ভেক্টর।

X-Frame-Options বা CSP-র frame-ancestors directive Clickjacking আক্রমণ প্রতিরোধ করে, যেখানে আপনার সাইট অন্য সাইটে iframe-এ এম্বেড হতে পারে। X-Content-Type-Options: nosniff MIME-type sniffing আক্রমণ প্রতিরোধ করে। Referrer-Policy ব্যবহারকারীর প্রাইভেসি সুরক্ষা দেয়। Permissions-Policy ব্রাউজার API অ্যাক্সেস নিয়ন্ত্রণ করে, যেমন Camera, Microphone, Geolocation। Strict-Transport-Security HTTPS বাধ্যতামূলক করে। X-XSS-Protection আধুনিক ব্রাউজারে অপ্রচলিত এবং CSP দিয়ে প্রতিস্থাপিত। securityheaders.com ব্যবহার করে আপনার সাইটের হেডার কনফিগারেশন পরীক্ষা করুন এবং A+ গ্রেড অর্জন করুন।

বেশিরভাগ ওয়েব দুর্বলতার মূল কারণ হলো ব্যবহারকারীর ইনপুটের সঠিক হ্যান্ডলিংয়ের অভাব। Input Validation নিশ্চিত করে যে শুধু প্রত্যাশিত ফরম্যাট এবং প্রকারের ডেটা গ্রহণ করা হয়। Whitelist পদ্ধতি Blacklist-এর চেয়ে অনেক বেশি নিরাপদ, কারণ Whitelist-এ যা অনুমোদিত নয় তা সব ব্লক করা হয়, যেখানে Blacklist শুধু পরিচিত ক্ষতিকর প্যাটার্ন ব্লক করে। উদাহরণস্বরূপ, একটি ইমেইল ইনপুটের জন্য নির্দিষ্ট regex ব্যবহার করুন যা শুধু বৈধ ইমেইল ফরম্যাট অনুমতি দেয়।

Server-side validation অপরিহার্য, ক্লায়েন্ট-সাইড validation কখনোই যথেষ্ট নয় কারণ আক্রমণকারী সরাসরি API call করতে পারেন। Output Encoding আরো গুরুত্বপূর্ণ, কারণ একই ডেটা বিভিন্ন কনটেক্সটে ভিন্নভাবে এনকোড করতে হয়। HTML কনটেক্সটে HTML entities, JavaScript কনটেক্সটে JavaScript escaping, URL কনটেক্সটে URL encoding ব্যবহার করুন। OWASP Java Encoder, DOMPurify, এবং অন্যান্য লাইব্রেরি সঠিক encoding প্রদান করে। Templating engine ব্যবহার করুন যা ডিফল্টরূপে auto-escape করে, যেমন Jinja2, Twig, এবং React। ইনপুট দৈর্ঘ্য সীমিত করুন, কারণ অস্বাভাবিক লম্বা ইনপুট DoS আক্রমণের লক্ষণ হতে পারে। File upload-এ Content-Type যাচাই, ফাইল সাইজ সীমা, এবং MIME-type validation প্রয়োগ করুন।

একটি ওয়েবসাইটের নিরাপত্তার মূল ভিত্তি হলো শক্তিশালী Authentication। শক্তিশালী পাসওয়ার্ড নীতি প্রয়োগ করুন, কমপক্ষে ১২ অক্ষর দীর্ঘ এবং complexity প্রয়োজন। NIST-এর সর্বশেষ গাইডলাইন অনুযায়ী, প্রতি ৯০ দিনে পাসওয়ার্ড পরিবর্তন বাধ্যতামূলক করার পরিবর্তে দীর্ঘ এবং অনন্য passphrase ব্যবহার উৎসাহিত করুন। Have I Been Pwned API ব্যবহার করে breached পাসওয়ার্ড গ্রহণ প্রতিরোধ করুন।

Multi-Factor Authentication (MFA) সমস্ত গুরুত্বপূর্ণ অ্যাকাউন্টে বাধ্যতামূলক করুন। SMS-ভিত্তিক MFA SIM Swapping আক্রমণের জন্য দুর্বল, তাই TOTP (Google Authenticator, Authy) বা Hardware Token (YubiKey) ব্যবহার করুন। WebAuthn এবং Passkeys পাসওয়ার্ডবিহীন authentication-এর ভবিষ্যৎ, যা phishing-resistant। পাসওয়ার্ড স্টোরেজে bcrypt, Argon2, বা scrypt ব্যবহার করুন, কখনোই MD5 বা SHA-1 নয়। প্রতিটি পাসওয়ার্ডের জন্য ইউনিক salt ব্যবহার করুন। Rate Limiting প্রয়োগ করুন লগইন endpoint-এ। CAPTCHA ব্যবহার করুন বট প্রতিরোধে। Account Lockout নীতি কনফিগার করুন কিন্তু সাবধান থাকুন যাতে DoS আক্রমণ না হয়। Single Sign-On (SSO) ব্যবহার করুন SAML বা OpenID Connect-এর মাধ্যমে, যা ব্যবস্থাপনা সহজ করে এবং ব্যবহারকারীর অভিজ্ঞতা উন্নত করে।

সফল লগইনের পর Session Management অ্যাপ্লিকেশন নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। Session Token ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী এবং অনির্দিষ্ট হতে হবে, কমপক্ষে ১২৮ বিট এনট্রপি। Token সঞ্চয় করুন secure এবং HttpOnly কুকিতে, যাতে JavaScript এটি অ্যাক্সেস করতে না পারে এবং HTTPS-এর মাধ্যমে প্রেরিত হয়। SameSite কুকি অ্যাট্রিবিউট ব্যবহার করুন CSRF আক্রমণ প্রতিরোধে।

Session Timeout কনফিগার করুন, সাধারণত ৩০ মিনিট inactivity-র পর সেশন বাতিল হবে। Idle Timeout এবং Absolute Timeout উভয় প্রয়োগ করুন। Logout সঠিকভাবে সেশন invalidate করুন server-side, শুধু কুকি ডিলিট করা যথেষ্ট নয়। লগইনের সময় নতুন Session ID তৈরি করুন (Session Fixation প্রতিরোধে)। Concurrent Session সীমিত করুন, একই ব্যবহারকারী একাধিক ডিভাইসে লগইন করলে অবহিত করুন। JWT ব্যবহার করলে সংক্ষিপ্ত মেয়াদ (১৫ মিনিট) এবং Refresh Token মেকানিজম প্রয়োগ করুন। Token Revocation মেকানিজম থাকতে হবে যাতে compromised token দ্রুত বাতিল করা যায়। সংবেদনশীল কাজের জন্য (পাসওয়ার্ড পরিবর্তন, লেনদেন) Re-authentication প্রয়োজন।

ডেটাবেস হলো একটি ওয়েব অ্যাপ্লিকেশনের সবচেয়ে মূল্যবান সম্পদ। ডেটাবেস সার্ভার সরাসরি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হওয়া উচিত নয়, এটি একটি প্রাইভেট নেটওয়ার্কে থাকবে। অ্যাপ্লিকেশন থেকে ডেটাবেসে সংযোগের জন্য একটি Limited Privilege অ্যাকাউন্ট ব্যবহার করুন, যা শুধু প্রয়োজনীয় টেবিল এবং অপারেশনে অনুমতি পায়। SELECT, INSERT, UPDATE, DELETE অনুমতি আলাদা ব্যবহারকারীর জন্য আলাদা হতে পারে।

Encryption at Rest সংবেদনশীল ডেটা যেমন পাসওয়ার্ড হ্যাশ, ক্রেডিট কার্ড নম্বর, এবং ব্যক্তিগত তথ্যের জন্য বাধ্যতামূলক। Transparent Data Encryption (TDE) সম্পূর্ণ ডেটাবেস ফাইল এনক্রিপ্ট করে। Application-level Encryption নির্দিষ্ট কলাম এনক্রিপ্ট করে এবং কী ব্যবস্থাপনা অ্যাপ্লিকেশনে রাখে। Encryption in Transit-এ অ্যাপ্লিকেশন থেকে ডেটাবেস পর্যন্ত TLS ব্যবহার করুন। Backup-ও এনক্রিপ্টেড হতে হবে এবং নিরাপদ স্থানে সংরক্ষিত থাকতে হবে।

ডেটাবেস ব্যাকআপ নিয়মিত নিন এবং পুনরুদ্ধার প্রক্রিয়া পরীক্ষা করুন। ৩-২-১ নীতি অনুসরণ করুন: ৩টি কপি, ২টি ভিন্ন মাধ্যমে, ১টি অফসাইটে। Audit Logging সক্রিয় রাখুন, বিশেষত admin অ্যাকশন এবং সংবেদনশীল ডেটা অ্যাক্সেসের জন্য। Database Activity Monitoring (DAM) টুল যেমন Imperva SecureSphere বা IBM Guardium অস্বাভাবিক প্যাটার্ন শনাক্ত করে। SQL Injection ছাড়াও NoSQL Injection (MongoDB, Cassandra) এবং ORM-নির্দিষ্ট দুর্বলতার বিরুদ্ধে সতর্ক থাকুন।

ফাইল আপলোড ফিচার অনেক অ্যাপ্লিকেশনে প্রয়োজনীয় কিন্তু একটি বড় আক্রমণ ভেক্টর। আক্রমণকারীরা প্রায়ই webshell আপলোড করে remote code execution অর্জন করেন। প্রথমেই allowed file extensions-এর একটি কঠোর Whitelist রাখুন। Double extension আক্রমণ (যেমন shell.php.jpg) এবং null byte injection প্রতিরোধে file extension সঠিকভাবে validate করুন।

ফাইল কনটেন্ট পরীক্ষা করুন, শুধু extension নয়। Magic Number বা File Signature যাচাই করুন যাতে ফাইল প্রকৃতপক্ষে দাবিকৃত ধরনের হয়। Image upload-এর জন্য ImageMagick বা Pillow ব্যবহার করে ফাইল প্রক্রিয়া করুন, যা বৈধ ইমেজ ছাড়া কিছু গ্রহণ করবে না। আপলোডকৃত ফাইলগুলো ওয়েব রুটের বাইরে সংরক্ষণ করুন বা S3-এর মতো অবজেক্ট স্টোরেজে রাখুন, যাতে সরাসরি অ্যাক্সেস না করা যায়। ফাইল সার্ভ করার সময় ভিন্ন ডোমেইন থেকে (যেমন user-content.example.com) সার্ভ করুন যাতে session token অ্যাক্সেসযোগ্য না হয়।

ফাইল সাইজ সীমিত করুন DoS প্রতিরোধে। আপলোডের আগে এবং পরে antivirus স্ক্যান করুন। Random ফাইল নাম জেনারেট করুন যাতে আক্রমণকারী ফাইল URL অনুমান করতে না পারে। Content-Disposition: attachment হেডার ব্যবহার করুন যাতে ব্রাউজার ফাইল ডাউনলোড করে, রেন্ডার না করে। SVG ফাইল বিশেষভাবে বিপজ্জনক কারণ এতে JavaScript embed করা যায়, তাই SVG sanitization বা ব্লক করুন। ZIP bomb প্রতিরোধে decompressed ফাইল সাইজ পরীক্ষা করুন।

কোনো সিস্টেমই ১০০% নিরাপদ নয়, তাই আক্রমণ শনাক্তকরণ এবং দ্রুত প্রতিক্রিয়া সমান গুরুত্বপূর্ণ। সমস্ত সিকিউরিটি-প্রাসঙ্গিক ইভেন্ট লগ করুন: লগইন (সফল এবং ব্যর্থ), পাসওয়ার্ড পরিবর্তন, প্রিভিলেজ পরিবর্তন, সংবেদনশীল ডেটা অ্যাক্সেস, এবং প্রশাসনিক কাজ। লগে IP, ব্যবহারকারী আইডি, টাইমস্ট্যাম্প, এবং প্রাসঙ্গিক প্যারামিটার থাকতে হবে। তবে সংবেদনশীল ডেটা (পাসওয়ার্ড, ক্রেডিট কার্ড) কখনোই লগ করবেন না।

কেন্দ্রীয় লগ ম্যানেজমেন্ট প্ল্যাটফর্ম যেমন ELK Stack, Splunk, বা Datadog ব্যবহার করুন। SIEM সিস্টেম যেমন Microsoft Sentinel বা IBM QRadar স্বয়ংক্রিয় correlation এবং alerting প্রদান করে। সাধারণ আক্রমণ প্যাটার্নের জন্য alert কনফিগার করুন: একই IP থেকে অনেক failed login, অস্বাভাবিক সময়ে admin login, একটি অ্যাকাউন্ট থেকে অস্বাভাবিকভাবে বেশি data download। Threat Intelligence Feed ইন্টিগ্রেট করুন যাতে পরিচিত খারাপ IP চিহ্নিত হয়।

Incident Response Plan লিখিত আকারে থাকতে হবে, যেখানে ভূমিকা, যোগাযোগ পথ, এবং পদক্ষেপ স্পষ্ট। নিয়মিত Tabletop Exercise এবং Red Team অনুশীলনের মাধ্যমে পরিকল্পনা পরীক্ষা করুন। আক্রমণের সময় Containment, Eradication, Recovery, এবং Lessons Learned পর্যায় অনুসরণ করুন। ডেটা ব্রিচের ক্ষেত্রে আইনি প্রয়োজনীয়তা সম্পর্কে অবগত থাকুন, যেমন GDPR ৭২ ঘণ্টার মধ্যে notification বাধ্যতামূলক করে।

একটি সম্পূর্ণ ওয়েব নিরাপত্তা প্রোগ্রাম গড়ে তুলতে কিছু গুরুত্বপূর্ণ Best Practice অনুসরণ করুন। প্রথমত, Secure SDLC গ্রহণ করুন, যেখানে নিরাপত্তা ডেভেলপমেন্টের প্রতিটি পর্যায়ে অন্তর্ভুক্ত। Threat Modeling প্রাথমিক পর্যায়ে দুর্বলতা শনাক্ত করতে সাহায্য করে। দ্বিতীয়ত, নিয়মিত নিরাপত্তা মূল্যায়ন: Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Software Composition Analysis (SCA), এবং Manual Penetration Testing।

তৃতীয়ত, OWASP ASVS (Application Security Verification Standard) ব্যবহার করুন আপনার নিরাপত্তা স্তর পরিমাপের জন্য। চতুর্থত, ডেভেলপারদের জন্য নিয়মিত সিকিউরিটি প্রশিক্ষণ দিন। Secure Code Warrior এবং অনুরূপ প্ল্যাটফর্ম interactive শিক্ষা প্রদান করে। পঞ্চমত, Bug Bounty Program বা Responsible Disclosure Policy চালু করুন যাতে নিরাপত্তা গবেষকরা দুর্বলতা রিপোর্ট করতে পারেন। ষষ্ঠত, Third-party dependencies নিয়মিত স্ক্যান এবং আপডেট করুন, কারণ সাপ্লাই চেইন আক্রমণ ক্রমবর্ধমান। সপ্তমত, সব নিরাপত্তা পরিবর্তন ডকুমেন্ট করুন এবং পর্যায়ক্রমে পর্যালোচনা করুন। অবশেষে, কমপ্লায়েন্স প্রয়োজনীয়তা পূরণ করুন: PCI DSS পেমেন্ট প্রসেসিংয়ের জন্য, HIPAA স্বাস্থ্য ডেটার জন্য, GDPR এবং বাংলাদেশের ডেটা সুরক্ষা আইন ব্যক্তিগত তথ্যের জন্য।