স্ব-XSS আক্রমণ কি?
সেলফ-এক্সএসএস , বা সেল্ফ ক্রস-সাইট স্ক্রিপ্টিং হল এক ধরনের সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ যা আপনাকে আপনার ওয়েব ব্রাউজারে দূষিত কোড চালানোর জন্য প্ররোচিত করে। নিয়মিত XSS আক্রমণের বিপরীতে, যা ওয়েব অ্যাপ্লিকেশনের দুর্বলতার উপর নির্ভর করে যা আক্রমণকারীদের দূষিত কোড ইনজেক্ট করতে দেয়, স্ব-XSS আক্রমণগুলি আপনার নিজের সম্ভাব্য কোড এক্সিকিউশন অ্যাকশনের উপর নির্ভর করে।
সেলফ-এক্সএসএস আক্রমণে সাধারণত আক্রমণকারী আপনাকে আপনার ব্রাউজারের DevTools কনসোলে দূষিত কোড কপি এবং পেস্ট করার জন্য প্রতারণা করে। আক্রমণকারী সাধারণত কিছু পুরস্কারের প্রতিশ্রুতি দিয়ে এটি অর্জন করে। এটা হতে পারে:
- আপনাকে প্রতিশ্রুতি দিয়ে যে কোডটি আপনাকে লুকানো বৈশিষ্ট্য বা ভার্চুয়াল পুরষ্কারগুলিতে অ্যাক্সেস দেবে।
- ভান করা যে কোডটি একটি নিরাপত্তা পরীক্ষা বা বাগ ফিক্স।
- প্রতিশ্রুতি দিয়ে যে কোডটি আপনার লাভের জন্য একটি ওয়েবসাইট হ্যাক করার অনুমতি দেয়।
একবার আপনি কোডটি কার্যকর করলে, আক্রমণকারী আপনার অ্যাকাউন্টের নিয়ন্ত্রণ পেতে পারে। এটি আক্রমণকারীকে অনুমতি দিতে পারে:
- আপনার ব্যক্তিগত তথ্য, যেমন নাম, ঠিকানা এবং ক্রেডিট কার্ড নম্বর চুরি করুন।
- আপনার পক্ষে অননুমোদিত বার্তা বা মন্তব্য পোস্ট করুন.
- আপনার সোশ্যাল মিডিয়া অ্যাকাউন্টের নিয়ন্ত্রণ নিন।
- অন্য ব্যবহারকারীদের কাছে ম্যালওয়্যার ছড়িয়ে দিন।
কিভাবে Chrome DevTools স্ব-XSS আক্রমণগুলি প্রশমিত করার চেষ্টা করে?
ব্যবহারকারীদের DevTools-এ কোড পেস্ট করতে দেওয়া এবং তারপর এটি কার্যকর করা সহজাতভাবে ঝুঁকিপূর্ণ। কিন্তু এটি Chrome DevTools এর মূল বৈশিষ্ট্যগুলির মধ্যে একটি। তাই আমাদের সম্ভাব্য সেলফ-এক্সএসএস আক্রমণ প্রশমিত করা এবং ডেভেলপারদের কাজে হস্তক্ষেপ না করার মধ্যে একটি ভারসাম্য খুঁজে বের করতে হয়েছিল যারা কেবল ওয়েবসাইটগুলি ডিবাগ করতে চান।
ডেভেলপাররা সাধারণত ওয়েবে কোথাও খুঁজে পাওয়া কোডটি কপি করে না, এটিকে DevTools-এ পেস্ট করে এবং কোডটি কী করে তা প্রথমে দ্রুত দেখে না নিয়েই এটি চালায়। বেশিরভাগ বিকাশকারীরা ওয়েবের একটি স্কেচি কোণে খুঁজে পাওয়া কোড কার্যকর করার নিরাপত্তা ঝুঁকি সম্পর্কে খুব সচেতন।
Chrome DevTools ডেভেলপাররা কী করছে তা জানতে তাদের বিশ্বাস করে। যখন তারা কোড কপি এবং পেস্ট করছে তখন আমরা তাদের গতি কমাতে চাই না বা তাদের বিভ্রান্ত করতে চাই না।
আমরা মনে করি যে নন-ডেভেলপাররা সেলফ-এক্সএসএস আক্রমণের শিকার হওয়ার অনেক বেশি ঝুঁকিতে রয়েছে। আপনাকে রক্ষা করার জন্য, আমরা বিশ্বাস করি আপনি যখন সম্ভাব্য বিপজ্জনক কিছু করছেন তখন বাধা দেওয়া গ্রহণযোগ্য এবং উপকারী। যখন Chrome DevTools সনাক্ত করে যে একজন অনভিজ্ঞ ব্যবহারকারী DevTools-এ কোড পেস্ট করার চেষ্টা করছে, তখন এটি থামবে এবং একটি সতর্কতা দেখাবে।
DevTools কখন স্ব-XSS সতর্কতা দেখাবে?
DevTools একটি খুব সাধারণ হিউরিস্টিক ব্যবহার করে সিদ্ধান্ত নেওয়ার জন্য যে সেল্ফ-এক্সএসএস সতর্কতা দেখাবে কিনা: এটি আপনার ব্যবহারকারী প্রোফাইলের কনসোল ইতিহাসের উপর ভিত্তি করে।
আপনার প্রোফাইলের কনসোল ইতিহাসে কমপক্ষে 5টি এন্ট্রি থাকলে, DevTools আপনাকে কোনো সতর্কতা বা পপ-আপ দিয়ে বিরক্ত করবে না। কনসোলের ইতিহাস হল সেই কমান্ডগুলির তালিকা যা আপনি কনসোলে টাইপ করেছেন এবং সম্পাদন করেছেন। আপনি যখন কনসোলে কার্সার রাখেন এবং বারবার আপ অ্যারো কী টিপুন তখন এই কমান্ডগুলি আপনি দেখতে পান।
স্ব-এক্সএসএস সতর্কতাগুলি দেখতে কেমন?
যখন একজন অনভিজ্ঞ ব্যবহারকারী কনসোলে কোড পেস্ট করার চেষ্টা করে, তখন এই ক্রিয়াটি ব্লক করা হয় এবং কনসোল পরিবর্তে একটি সতর্কতা দেখায়।
আপনি এই সতর্কতাকে ওভাররাইড করতে পারেন এবং আটকানো সক্ষম করতে পারেন, তবে এটি করার জন্য আপনাকে 'পেস্ট করার অনুমতি দিন' টাইপ করতে হবে।
যখন একজন অনভিজ্ঞ ব্যবহারকারী DevTools কোড এডিটর (উদাহরণস্বরূপ, উৎস প্যানেল) কোড পেস্ট করে, তখন ব্যবহারকারীর অভিজ্ঞতা অনেকটা একই রকম হয়। একটি সতর্কতার পরিবর্তে, আপনি একটি মডেল ডায়ালগ দেখতে পাবেন।
এবং আবার, শুধুমাত্র এই ডায়ালগ বন্ধ করা পেস্ট সক্ষম করার জন্য যথেষ্ট নয়। সতর্কতা ওভাররাইড করতে, আপনাকে ইনপুট ক্ষেত্রে 'অ্যালো পেস্টিং' টাইপ করতে হবে।
এটা কি এককালীন সেটিং?
হ্যাঁ, একবার আপনি পেস্ট করার অনুমতি দেওয়ার সিদ্ধান্ত নিলে, আপনি আর কখনও স্ব-XSS সতর্কতা নিয়ে বিরক্ত হবেন না৷
আমরা আশা করি এটি উপযোগিতা এবং বিরক্তির মধ্যে একটি ভাল ট্রেড-অফ অর্জন করবে। ঘর্ষণ যোগ করার মাধ্যমে, আমরা আপনার সতর্কতা পড়ার সম্ভাবনা বাড়াই এবং সেইজন্য একটি সফল স্ব-XSS আক্রমণের সম্ভাবনা হ্রাস করি।
Chrome DevTools একটি পতাকা রাখে যা আপনাকে আপনার Chrome প্রোফাইলে স্ব-XSS সতর্কতা দেখাবে কি না তা নির্দিষ্ট করে। তাই আপনি যদি একটি নতুন প্রোফাইল তৈরি করেন এবং অবিলম্বে DevTools-এ কোড পেস্ট করা শুরু করেন, পেস্ট করা ব্লক করা হয় এবং পরিবর্তে স্ব-XSS সতর্কতা দেখানো হয়।
আপনি পরীক্ষা অটোমেশন জন্য এটি নিষ্ক্রিয় করতে পারেন?
কিন্তু স্বয়ংক্রিয় পরীক্ষা সম্পর্কে কি? অনেক পরীক্ষার সরঞ্জাম প্রতিটি পরীক্ষার জন্য একটি নতুন অস্থায়ী প্রোফাইল তৈরি করে। তাই আপনি যদি আপনার স্বয়ংক্রিয় পরীক্ষাগুলি ডিবাগ করতে DevTools ব্যবহার করেন, তাহলে কনসোলে আটকানো প্রাথমিকভাবে ব্লক করা হয়। এটি প্রতিরোধ করতে, পরীক্ষার জন্য Chrome ব্যবহার করুন। পরীক্ষার জন্য ক্রোম হল ক্রোমের একটি উত্সর্গীকৃত স্বাদ যা পরীক্ষা এবং স্বয়ংক্রিয়করণের জন্য বিশেষভাবে ডিজাইন করা হয়েছে, স্ব-XSS সতর্কতা বন্ধ সহ।
উপসংহার
স্ব-এক্সএসএস আক্রমণ প্রশমিত করার জন্য এই কৌশল সম্পর্কে আপনি কী মনে করেন? আপনার যদি মন্তব্য বা পরামর্শ থাকে তবে এই বাগটিতে একটি মন্তব্য যোগ করুন বা নিম্নলিখিত পদ্ধতিগুলির মধ্যে একটি ব্যবহার করে যোগাযোগ করুন৷
বিশেষ করে যদি আপনি এমন একটি ওয়েবসাইটে কাজ করেন যা কনসোল লগের মাধ্যমে স্ব-XSS আক্রমণ সম্পর্কে সতর্ক করে, আমরা আমাদের প্রচেষ্টাকে সারিবদ্ধ করার বা স্ব-XSS প্রশমন ব্যবস্থার প্রভাব পরিমাপ করার বিষয়ে কথা বলতে চাই।
প্রিভিউ চ্যানেল ডাউনলোড করুন
আপনার ডিফল্ট ডেভেলপমেন্ট ব্রাউজার হিসেবে Chrome Canary , Dev বা Beta ব্যবহার করার কথা বিবেচনা করুন। এই পূর্বরূপ চ্যানেলগুলি আপনাকে সর্বশেষ DevTools বৈশিষ্ট্যগুলিতে অ্যাক্সেস দেয়, অত্যাধুনিক ওয়েব প্ল্যাটফর্ম API পরীক্ষা করে এবং আপনার ব্যবহারকারীদের আগে আপনার সাইটে সমস্যাগুলি খুঁজে পায়!
Chrome DevTools টিমের সাথে যোগাযোগ করা হচ্ছে
পোস্টের নতুন বৈশিষ্ট্য এবং পরিবর্তনগুলি বা DevTools সম্পর্কিত অন্য কিছু নিয়ে আলোচনা করতে নিম্নলিখিত বিকল্পগুলি ব্যবহার করুন৷
- crbug.com এর মাধ্যমে আমাদের কাছে একটি পরামর্শ বা প্রতিক্রিয়া জমা দিন।
- আরও বিকল্প ব্যবহার করে একটি DevTools সমস্যা রিপোর্ট করুন
> সাহায্য > DevTools-এ একটি DevTools সমস্যা রিপোর্ট করুন । - @ChromeDevTools- এ টুইট করুন।
- আমাদের DevTools YouTube ভিডিও বা DevTools টিপস YouTube ভিডিওগুলিতে নতুন কী আছে সে সম্পর্কে মন্তব্য করুন৷