বিষয়বস্তু স্পুফিং হল দূষিত প্রোগ্রামারদের দ্বারা আক্রমণের ধরন সংজ্ঞায়িত করার জন্য ব্যবহৃত শব্দ যেখানে তারা টেক্সট ইনজেকশন বা এইচটিএমএল ইনজেকশন দ্বারা ব্যবহারকারীর কাছে একটি জাল ওয়েবসাইটকে বৈধ হিসাবে উপস্থাপন করে। যখন একটি ওয়েব অ্যাপ্লিকেশন সঠিকভাবে অনুসন্ধান ইত্যাদি ব্যবহার করে ব্যবহারকারীর দ্বারা সরবরাহকৃত ডেটা পরিচালনা করে না তখন আক্রমণকারী এমন পরিস্থিতির সুবিধা নিতে পারে এবং অতিরিক্ত পরামিতিগুলি ইনজেকশন করতে পারে যা ব্যবহারকারীর অলক্ষিত হয়। এটি মূল ওয়েবপৃষ্ঠার মতো দেখতে অন্য একটি ওয়েব পৃষ্ঠায় অবতরণ করে। সেই পৃষ্ঠাটি ব্যবহারকারীকে তথ্য দিতে বলতে পারে যা গোপনীয় এবং প্রকাশিত হলে গুরুতর ক্ষতির কারণ হয়৷
৷দুটি মৌলিক ধরনের ইনজেকশন হল
- Html ইনজেকশন
- টেক্সট ইনজেকশন
Html ইনজেকশন
- আক্রমণকারী দুর্বল ওয়েব অ্যাপ্লিকেশন খুঁজে পায়।
- আক্রমণকারী সংশোধিত ইউআরএল ব্যবহারকারীকে যেকোনো উপায়ে পাঠায়, সাধারণত ইমেলের মাধ্যমে। এই ইউআরএলে টেক্সট ইনজেক্ট করা আছে।
- ইউআরএলে ক্লিক করলে ব্যবহারকারীকে আক্রমণকারীদের ওয়েবপেজে নেভিগেট করা হয়, এটি বৈধ বলে মনে হয়।
- ব্যবহারকারী ব্যবহারকারীর নাম, পাসওয়ার্ড, কার্ড পিন ইত্যাদির মতো তথ্য জিজ্ঞাসা করেছে।
- এই তথ্য আক্রমণকারীদের সার্ভারে স্থানান্তরিত হয়।
উদাহরণ
কিছু সাইট এইচটিএমএল বিষয়বস্তুকে url-এও প্যারামিটার হিসাবে পাস করে, সাধারণত একটি div ট্যাগের ভিতরে। এটি একটি বড় দুর্বলতার কারণ হয়।
www.testing.com/siteAdcontent?divMessage=
এখানে ক্লিক করুন!!
এটিকে − হিসাবে পরিবর্তন করা সম্ভব
www.testing.com/siteAdcontent?divMessage= ক্লিক করবেন না!!
টেক্সট ইনজেকশন
- আক্রমণকারী দুর্বল ওয়েব অ্যাপ্লিকেশন খুঁজে পায়।
- আক্রমণকারী URL এ পাস করা প্যারামিটারের মান পরিবর্তন করে।
- বিকৃত পৃষ্ঠার অনুরোধের লিঙ্কটি আক্রমণকারীদের সার্ভারে পাঠানো হয়েছে৷ ৷
- একটি বৈধ ওয়েব পৃষ্ঠা এখন প্যারামিটার অনুযায়ী মিথ্যা তথ্য দেখায়।
- ঘটবে যখন বার্তাটি অনুরোধের প্যারামিটারের মাধ্যমে পাস করা হয়।
উদাহরণ
www.testing.com/loginAction?userName=abc&password=123
হিসেবে যুক্ত করা যেতে পারেwww.testing.com/loginAction?errorMessage=PasswordEmpty এই নতুন url ব্যবহারকারীদের এমন একটি পৃষ্ঠায় নিয়ে যেতে পারে যা মিথ্যা সামগ্রী প্রদর্শন করে এবং ব্যবহারকারীকে বিরক্ত করতে পারে৷
৷