স্ব-XSS আক্রমণ কি?
সেলফ-এক্সএসএস , বা সেল্ফ ক্রস-সাইট স্ক্রিপ্টিং হল এক ধরনের সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ যা আপনাকে আপনার ওয়েব ব্রাউজারে দূষিত কোড চালানোর জন্য প্ররোচিত করে। নিয়মিত XSS আক্রমণের বিপরীতে, যা ওয়েব অ্যাপ্লিকেশনের দুর্বলতার উপর নির্ভর করে যা আক্রমণকারীদের দূষিত কোড ইনজেক্ট করতে দেয়, স্ব-XSS আক্রমণগুলি আপনার নিজের সম্ভাব্য কোড এক্সিকিউশন অ্যাকশনের উপর নির্ভর করে।
সেলফ-এক্সএসএস আক্রমণে সাধারণত আক্রমণকারী আপনাকে আপনার ব্রাউজারের DevTools কনসোলে দূষিত কোড কপি এবং পেস্ট করার জন্য প্রতারণা করে। আক্রমণকারী সাধারণত কিছু পুরস্কারের প্রতিশ্রুতি দিয়ে এটি অর্জন করে। এটি হতে পারে:
- আপনাকে প্রতিশ্রুতি দিয়ে যে কোডটি আপনাকে লুকানো বৈশিষ্ট্য বা ভার্চুয়াল পুরষ্কারগুলিতে অ্যাক্সেস দেবে।
- ভান করা যে কোডটি একটি নিরাপত্তা পরীক্ষা বা বাগ ফিক্স।
- প্রতিশ্রুতি দিয়ে যে কোডটি আপনার লাভের জন্য একটি ওয়েবসাইট হ্যাক করার অনুমতি দেয়।
একবার আপনি কোডটি কার্যকর করলে, আক্রমণকারী আপনার অ্যাকাউন্টের নিয়ন্ত্রণ পেতে পারে। এটি আক্রমণকারীকে অনুমতি দিতে পারে:
- আপনার ব্যক্তিগত তথ্য, যেমন নাম, ঠিকানা এবং ক্রেডিট কার্ড নম্বর চুরি করুন।
- আপনার পক্ষে অননুমোদিত বার্তা বা মন্তব্য পোস্ট করুন.
- আপনার সোশ্যাল মিডিয়া অ্যাকাউন্টের নিয়ন্ত্রণ নিন।
- অন্য ব্যবহারকারীদের কাছে ম্যালওয়্যার ছড়িয়ে দিন।
কিভাবে Chrome DevTools স্ব-XSS আক্রমণগুলি প্রশমিত করার চেষ্টা করে?
ব্যবহারকারীদের DevTools-এ কোড পেস্ট করতে দেওয়া এবং তারপর এটি কার্যকর করা সহজাতভাবে ঝুঁকিপূর্ণ। কিন্তু এটি Chrome DevTools এর মূল বৈশিষ্ট্যগুলির মধ্যে একটি। তাই আমাদের সম্ভাব্য সেলফ-এক্সএসএস আক্রমণ প্রশমিত করা এবং ডেভেলপারদের কাজে হস্তক্ষেপ না করার মধ্যে একটি ভারসাম্য খুঁজে বের করতে হয়েছিল যারা কেবল ওয়েবসাইটগুলি ডিবাগ করতে চান।
ডেভেলপাররা সাধারণত ওয়েবে কোথাও খুঁজে পাওয়া কোডটি কপি করে না, এটিকে DevTools-এ পেস্ট করে এবং কোডটি কী করে তা প্রথমে দ্রুত দেখে না নিয়েই এটি চালায়। বেশিরভাগ বিকাশকারীরা ওয়েবের একটি স্কেচি কোণে খুঁজে পাওয়া কোড কার্যকর করার নিরাপত্তা ঝুঁকি সম্পর্কে খুব সচেতন।
Chrome DevTools ডেভেলপাররা কী করছে তা জানতে তাদের বিশ্বাস করে। যখন তারা কোড কপি এবং পেস্ট করছে তখন আমরা তাদের গতি কমাতে চাই না বা তাদের বিভ্রান্ত করতে চাই না।
আমরা মনে করি যে নন-ডেভেলপাররা সেলফ-এক্সএসএস আক্রমণের শিকার হওয়ার অনেক বেশি ঝুঁকিতে রয়েছে। আপনাকে রক্ষা করার জন্য, আমরা বিশ্বাস করি আপনি যখন সম্ভাব্য বিপজ্জনক কিছু করছেন তখন বাধা দেওয়া গ্রহণযোগ্য এবং উপকারী। যখন Chrome DevTools সনাক্ত করে যে একজন অনভিজ্ঞ ব্যবহারকারী DevTools-এ কোড পেস্ট করার চেষ্টা করছে, তখন এটি থামবে এবং একটি সতর্কতা দেখাবে।
DevTools কখন স্ব-XSS সতর্কতা দেখাবে?
DevTools একটি খুব সাধারণ হিউরিস্টিক ব্যবহার করে সিদ্ধান্ত নেওয়ার জন্য যে সেল্ফ-এক্সএসএস সতর্কতা দেখাবে কিনা: এটি আপনার ব্যবহারকারী প্রোফাইলের কনসোল ইতিহাসের উপর ভিত্তি করে।
আপনার প্রোফাইলের কনসোল ইতিহাসে কমপক্ষে 5টি এন্ট্রি থাকলে, DevTools আপনাকে কোনো সতর্কতা বা পপ-আপ দিয়ে বিরক্ত করবে না। কনসোলের ইতিহাস হল সেই কমান্ডগুলির তালিকা যা আপনি কনসোলে টাইপ করেছেন এবং সম্পাদন করেছেন। আপনি যখন কনসোলে কার্সার রাখেন এবং বারবার আপ অ্যারো কী টিপুন তখন এই কমান্ডগুলি আপনি দেখতে পান।
স্ব-এক্সএসএস সতর্কতাগুলি দেখতে কেমন?
যখন একজন অনভিজ্ঞ ব্যবহারকারী কনসোলে কোড পেস্ট করার চেষ্টা করে, তখন এই ক্রিয়াটি ব্লক করা হয় এবং কনসোল পরিবর্তে একটি সতর্কতা দেখায়।
আপনি এই সতর্কতাকে ওভাররাইড করতে পারেন এবং আটকানো সক্ষম করতে পারেন, তবে এটি করার জন্য আপনাকে 'পেস্ট করার অনুমতি দিন' টাইপ করতে হবে।
যখন একজন অনভিজ্ঞ ব্যবহারকারী DevTools কোড এডিটর (উদাহরণস্বরূপ, উৎস প্যানেল) কোড পেস্ট করে, তখন ব্যবহারকারীর অভিজ্ঞতা অনেকটা একই রকম হয়। একটি সতর্কতার পরিবর্তে, আপনি একটি মডেল ডায়ালগ দেখতে পাবেন।
এবং আবার, শুধুমাত্র এই ডায়ালগ বন্ধ করা পেস্ট সক্ষম করার জন্য যথেষ্ট নয়। সতর্কতা ওভাররাইড করতে, আপনাকে ইনপুট ক্ষেত্রে 'অ্যালো পেস্টিং' টাইপ করতে হবে।
এটা কি এককালীন সেটিং?
হ্যাঁ, একবার আপনি পেস্ট করার অনুমতি দেওয়ার সিদ্ধান্ত নিলে, আপনি আর কখনও স্ব-XSS সতর্কতা নিয়ে বিরক্ত হবেন না৷
আমরা আশা করি এটি উপযোগিতা এবং বিরক্তির মধ্যে একটি ভাল ট্রেড-অফ অর্জন করবে। ঘর্ষণ যোগ করার মাধ্যমে, আমরা আপনার সতর্কতা পড়ার সম্ভাবনা বাড়াই এবং সেইজন্য একটি সফল স্ব-XSS আক্রমণের সম্ভাবনা হ্রাস করি।
Chrome DevTools একটি পতাকা রাখে যা আপনাকে আপনার Chrome প্রোফাইলে স্ব-XSS সতর্কতা দেখাবে কি না তা নির্দিষ্ট করে। তাই আপনি যদি একটি নতুন প্রোফাইল তৈরি করেন এবং অবিলম্বে DevTools-এ কোড পেস্ট করা শুরু করেন, পেস্ট করা ব্লক করা হয় এবং পরিবর্তে স্ব-XSS সতর্কতা দেখানো হয়।
আপনি পরীক্ষা অটোমেশন জন্য এটি নিষ্ক্রিয় করতে পারেন?
কিন্তু স্বয়ংক্রিয় পরীক্ষা সম্পর্কে কি? অনেক পরীক্ষার সরঞ্জাম প্রতিটি পরীক্ষার জন্য একটি নতুন অস্থায়ী প্রোফাইল তৈরি করে। তাই আপনি যদি আপনার স্বয়ংক্রিয় পরীক্ষাগুলি ডিবাগ করতে DevTools ব্যবহার করেন, তাহলে কনসোলে আটকানো প্রাথমিকভাবে ব্লক করা হয়।
এই সমস্যাটি এড়াতে, নিম্নলিখিতগুলির যে কোনও একটি করুন:
পরীক্ষার জন্য Chrome ব্যবহার করুন, বিশেষভাবে পরীক্ষা এবং অটোমেশনের জন্য ডিজাইন করা বিভিন্ন ধরনের ক্রোম। সেলফ-এক্সএসএস সতর্কতা বন্ধ করা হয়েছে।
অন্যান্য Chrome রিলিজ চ্যানেলের জন্য, স্ব-xss সতর্কীকরণ ডায়ালগ সম্পূর্ণরূপে নিষ্ক্রিয় করতে
--unsafely-disable-devtools-self-xss-warningsকমান্ড-লাইন পতাকা Chrome-এ পাস করুন৷
উপসংহার
স্ব-এক্সএসএস আক্রমণ প্রশমিত করার জন্য এই কৌশল সম্পর্কে আপনি কী মনে করেন? আপনার যদি মন্তব্য বা পরামর্শ থাকে তবে এই বাগটিতে একটি মন্তব্য যোগ করুন বা নিম্নলিখিত পদ্ধতিগুলির মধ্যে একটি ব্যবহার করে যোগাযোগ করুন৷
বিশেষ করে যদি আপনি এমন একটি ওয়েবসাইটে কাজ করেন যা কনসোল লগের মাধ্যমে স্ব-XSS আক্রমণ সম্পর্কে সতর্ক করে, আমরা আমাদের প্রচেষ্টাকে সারিবদ্ধ করার বা স্ব-XSS প্রশমন ব্যবস্থার প্রভাব পরিমাপ করার বিষয়ে কথা বলতে চাই।
প্রিভিউ চ্যানেল ডাউনলোড করুন
আপনার ডিফল্ট ডেভেলপমেন্ট ব্রাউজার হিসাবে Chrome Canary , Dev , বা Beta ব্যবহার করার কথা বিবেচনা করুন৷ এই প্রিভিউ চ্যানেলগুলি আপনাকে সর্বশেষ DevTools বৈশিষ্ট্যগুলিতে অ্যাক্সেস দেয়, আপনাকে অত্যাধুনিক ওয়েব প্ল্যাটফর্ম APIগুলি পরীক্ষা করতে দেয় এবং আপনার ব্যবহারকারীদের করার আগে আপনার সাইটে সমস্যাগুলি খুঁজে পেতে সহায়তা করে!
Chrome DevTools টিমের সাথে যোগাযোগ করুন
নতুন বৈশিষ্ট্য, আপডেট বা DevTools সম্পর্কিত অন্য কিছু নিয়ে আলোচনা করতে নিম্নলিখিত বিকল্পগুলি ব্যবহার করুন৷
- crbug.com এ আমাদের কাছে প্রতিক্রিয়া এবং বৈশিষ্ট্যের অনুরোধ জমা দিন।
- আরও বিকল্প > সাহায্য > DevTools-এ একটি DevTools সমস্যা রিপোর্ট করুন ব্যবহার করে একটি DevTools সমস্যা রিপোর্ট করুন।
- @ ChromeDevTools-এ টুইট করুন।
- DevTools YouTube ভিডিও বা DevTools টিপস YouTube ভিডিওগুলিতে নতুন কী আছে সে সম্পর্কে মন্তব্য করুন৷