আমাদের পরবর্তী লাইভ কোর্স জানুয়ারী ২০২০ থেকে শুরু হবে। 

The Complete Ethical Hacking Course: Beginner to Advanced | এথিক্যাল হ্যাকিং কোর্স

The Complete Ethical Hacking Course: Beginner to Advanced | এথিক্যাল হ্যাকিং কোর্স | Class: 02

উক্ত ক্লাসে যা যা আলোচনা করা হয়েছে:
আলোচিত বিষয় সমূহঃ
– SQL Injection (এসকিউএল ইনজেকশন)
– Shell (শেল)
– WAF Bypass (ডাব্লুএএফ বাইপাস)

– SQL Injection (এসকিউএল ইনজেকশন)
এসকিউএল ইনজেকশন একটি কোড ঢোকানর প্রয়োগ কৌশল যেটি উপাত্ত চালিত অ্যাপ্লিকেশন আক্রমণ করতে ব্যবহৃত হয়। এই পদ্ধতিতে অসৎ উদ্দেশ্যমূলক এসকিউএল স্টেটমেন্ট/বিবৃতিসমূহ, এন্ট্রি ফিল্ডে সম্পাদন করার জন্য প্রবেশ করান হয় (উদাহরণস্বরূপ ডাটাবেসের সমস্ত তথ্য আক্রমণকারীর কাছে পাঠিয়ে দেয়)। এসকিউএল ইনজেকশন একটি অ্যাপ্লিকেশন সফ্টওয়্যারের কোন একটি নিরাপত্তা ঝুঁকিকে কাজে লাগায়-উইকিপিডিয়া

নিম্নলিখিত স্ক্রিপ্টটি একটি ওয়েব সার্ভারে সিউডোকোড কার্যকর করা হয়। এটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে প্রমাণীকরণের একটি সাধারণ উদাহরণ। উদাহরণস্বরূপ ডাটাবেসটিতে নিম্নলিখিত কলামগুলির সাথে ব্যবহারকারীদের একটি সারণী রয়েছে: ব্যবহারকারীর নাম এবং পাসওয়ার্ড।

# Define POST variables
uname = request.POST[‘username’]
passwd = request.POST[‘password’]

# SQL query vulnerable to SQLi
sql = “SELECT id FROM users WHERE username=’” + uname + “’ AND password=’” + passwd + “’”

# Execute the SQL statement
database.execute(sql)

এই ইনপুট ক্ষেত্রগুলি এসকিউএল ইঞ্জেকশনের পক্ষে ঝুঁকিপূর্ণ। একজন আক্রমণকারী ইনপুটটিতে এসকিউএল কমান্ডগুলি এমনভাবে ব্যবহার করতে পারে যা ডাটাবেস সার্ভার দ্বারা চালিত এসকিউএল স্টেটমেন্টকে পরিবর্তন করতে পারে। উদাহরণস্বরূপ, তারা একটি একক উদ্ধৃতি জড়িত একটি কৌশল ব্যবহার করতে পারে এবং এতে পাসওয়ার্ড ক্ষেত্র সেট করতে পারে:

password’ OR 1=1

ফলস্বরূপ, ডাটাবেস সার্ভারটি নিম্নলিখিত এসকিউএল কোয়েরি চালায়:

SELECT id FROM users WHERE username=’username’ AND password=’password’ OR 1=1′

OR 1 = 1 স্টেটমেন্টের কারণে, WHERE ধারাটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড যাই হোক না কেন ব্যবহারকারীর টেবিল থেকে প্রথম আইডি প্রদান করে। একটি ডাটাবেসে প্রথম ব্যবহারকারী আইডি খুব প্রায়শই প্রশাসক। এইভাবে, আক্রমণকারী কেবল প্রমাণীকরণকে বাইপাস করে না তবে প্রশাসকের সুযোগসুবিধা অর্জন করে। তারা এসকিউএল ক্যোয়ারির আরও কার্যকর করতে নিয়ন্ত্রণের জন্য এসকিউএল বাকী বাক্যটি সম্পর্কে আরও মন্তব্য করতে পারে:

— MySQL, MSSQL, Oracle, PostgreSQL, SQLite
‘ OR ‘1’=’1′ —
‘ OR ‘1’=’1′ /*
— MySQL
‘ OR ‘1’=’1′ #
— Access (using null characters)
‘ OR ‘1’=’1′ %00
‘ OR ‘1’=’1′ %16

– Shell (শেল)
একটি ওয়েব শেল একটি ওয়েব সুরক্ষা হুমকি যা শেল ধারণার ওয়েব-ভিত্তিক প্রয়োগ। ওয়েব সার্ভারের যেমন ওয়েব সার্ভারের ফাইল সিস্টেমের দূরবর্তী অ্যাক্সেসের অনুমতি দিতে একটি ওয়েব শেল কোনও ওয়েবসভারে আপলোড করা যায়। একটি ওয়েব শেল এটি অনন্য যে এটি কমান্ড-লাইন ইন্টারফেসের মতো কাজ করে এমন একটি ওয়েব ব্রাউজারের মাধ্যমে ব্যবহারকারীদের একটি ওয়েব সার্ভার অ্যাক্সেস করতে সক্ষম করে।
কোনও ব্যবহারকারী ওয়ার্ল্ড ওয়াইড ওয়েবের মাধ্যমে যে কোনও প্রকারের সিস্টেমে একটি ওয়েব ব্রাউজার ব্যবহার করে কোনও রিমোট কম্পিউটার অ্যাক্সেস করতে পারে, সে ডেস্কটপ কম্পিউটার হোক বা কোনও ওয়েব ব্রাউজারযুক্ত মোবাইল ফোন এবং দূরবর্তী সিস্টেমে কাজ সম্পাদন করতে পারে। হোস্ট বা ক্লায়েন্ট উভয়ের জন্য কোনও কমান্ড-লাইন পরিবেশের প্রয়োজন নেই।

– WAF Bypass (ডাব্লুএএফ বাইপাস)
একটি এসকিউএল ইনজেকশন আক্রমণ ক্লায়েন্ট থেকে অ্যাপ্লিকেশনটিতে ইনপুট ডেটার মাধ্যমে একটি এসকিউএল কোয়েরির সন্নিবেশ বা “ইনজেকশন” নিয়ে গঠিত। একটি সফল এসকিউএল ইঞ্জেকশন শোষণ ডাটাবেস থেকে সংবেদনশীল ডেটা পড়তে পারে, ডাটাবেস ডেটা পরিবর্তন করতে পারে (সন্নিবেশ / আপডেট / মুছুন), ডাটাবেসে প্রশাসনিক ক্রিয়াকলাপ চালায় (যেমন ডিবিএমএস বন্ধ করে দেয়), ডিবিএমএস ফাইলে উপস্থিত কোনও ফাইলের সামগ্রী পুনরুদ্ধার করতে পারে সিস্টেম এবং কিছু কিছু ক্ষেত্রে অপারেটিং সিস্টেম জন্য কম্যান্ড ইস্যু। এসকিউএল ইঞ্জেকশন আক্রমণগুলি এক ধরণের ইনজেকশন আক্রমণ, যাতে এসকিউএল কমান্ডগুলি পূর্বনির্ধারিত এসকিউএল কমান্ডগুলির কার্যকারিতা প্রভাবিত করার জন্য ডেটা-প্লেন ইনপুটটিতে ইনজেক্ট করা হয়।

এসকিউএল ইঞ্জেকশন দুটি ধরণের রয়েছে:
• SQL Injection into a String/Char parameter
Example: SELECT * from table where example = ‘Example’

• SQL Injection into a Numeric parameter
Example: SELECT * from table where id = 123

১. এসকিউএল ইঞ্জেকশন দুর্বলতার শোষণকে ডিবিএমএস টাইপ এবং ইনজেকশন শর্ত অনুযায়ী শ্রেণিতে বিভক্ত করা হয়:
• A vulnerable request can get into Insert, Update, Delete, etc.
Example: UPDATE users SET pass = ‘1’ where user = ‘t1’ OR 1=1–‘

১. ব্লাইন্ড এসকিউএল ইনজেকশন:
Example: select * from table where id = 1 AND if((ascii(lower(substring((select user()),$i,1))))!=$s,1,benchmark(200000,md5(now())))

১. বিভিন্ন ডিবিএমএস-এর জন্য শোষণ বৈশিষ্ট্য:
Example: (MySQL): SELECT * from table where id = 1 union select 1,2,3
Example: (PostgreSQL): SELECT * from table where id = 1; select 1,2,3

🎯🎯 দেশের যেকোন প্রান্ত থেকে অনলাইনে ঘরে বসে ইশিখন ওয়েবসাইটের মাধ্যমে লাইভে ক্লাস করার সুযোগ পাচ্ছেন।

যাদের ইন্টারনেট বা কম্পিউটার নেই, তারা আপনার নিকটস্থ ইশিখন এজেন্ট সেন্টারে গিয়ে কোর্সগুলো লাইভে করার সুযোগ পাবেন। কিংবা আমাদের লাইভ ক্লাসের ডিভিডি সংগ্রহ করেও শিখতে পারবেন।

আমাদের পরবর্তী (আপকামিং) ব্যাচসমূহ: https://eshikhon.com/batch

🏢হেড অফিস: 23/3, Behind Sonali Bank, Zigatola, Dhanmondi, Dhaka-1209
☎হেল্পলাইন: 09639 399399, 01948858258, 01842858258, 01705776939

আরও দেখুনঃ

Ethical Hacking Premiere Tutorial | ইথিক্যাল হ্যাকিং কোর্স

#Ethical_Hacking
#এথিক্যাল_হ্যাকিং
#Hacking_Online_Course

   
   

0 responses on "The Complete Ethical Hacking Course: Beginner to Advanced | এথিক্যাল হ্যাকিং কোর্স"

Leave a Message

Your email address will not be published.

© eShikhon.com 2015-2019. All Right Reserved