Burp Suite হল ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার জন্য একটি বহুমুখী এবং ব্যাপকভাবে ব্যবহৃত সাইবারসিকিউরিটি টুল। ওয়েব অ্যাপ্লিকেশনের মূল্যায়ন করার সময় কার্যকরী সেশন পরিচালনা অপরিহার্য, কারণ এটি পরীক্ষকদের ব্যবহারকারীর সেশন বজায় রাখতে, প্রমাণীকরণ পরিচালনা করতে এবং একটি ওয়েব অ্যাপ্লিকেশনের প্রমাণীকৃত এলাকায় অ্যাক্সেস করতে দেয়। এই নিবন্ধে, আমরা আপনাকে একটি কালি লিনাক্স সিস্টেমে Burp Suite-এর সাথে সেশন পরিচালনার প্রক্রিয়ার মাধ্যমে গাইড করব, যা আপনাকে ব্যাপক ওয়েব অ্যাপ্লিকেশন নিরাপত্তা মূল্যায়ন করতে সাহায্য করবে।

ধাপ 1: Burp Suite চালু করুন

আপনার Kali Linux সিস্টেমে Burp Suite ইনস্টল করা আছে তা নিশ্চিত করুন। যদি এটি এখনও ইনস্টল করা না থাকে, তাহলে ইনস্টলেশনের নির্দেশাবলীর জন্য অনুগ্রহ করে “কালি লিনাক্সে বার্প স্যুট ইনস্টল করার ধাপে ধাপে নির্দেশিকা”-এ আমাদের পূর্ববর্তী নিবন্ধটি পড়ুন।

একবার ইনস্টল হয়ে গেলে, একটি টার্মিনাল খুলুন এবং টাইপ করে Burp Suite চালু করুন:

বারপসুইট

ধাপ 2: ইন্টারসেপ্ট এবং ক্যাপচার প্রমাণীকরণ

সেশন পরিচালনা প্রায়শই একটি ওয়েব অ্যাপ্লিকেশনে লগ ইন করার জন্য প্রমাণীকরণের অনুরোধগুলি আটকানো এবং ক্যাপচার করার মাধ্যমে শুরু হয়। প্রমাণীকরণ অনুরোধগুলি ক্যাপচার করতে এই পদক্ষেপগুলি অনুসরণ করুন:

1. Burp Suite-এ, “Proxy” ট্যাবে যান।
2. ইন্টারসেপশন সক্ষম করতে “Intercept is on” বোতামে ক্লিক করুন। এটা লাল চালু করা উচিত।
3. আপনার ওয়েব ব্রাউজার খুলুন এবং আপনি যে ওয়েব অ্যাপ্লিকেশনটি পরীক্ষা করতে চান তার লগইন পৃষ্ঠাটি অ্যাক্সেস করুন৷
4. আপনার শংসাপত্র লিখুন এবং লগইন ফর্ম জমা দিন. Burp Suite “প্রক্সি” ট্যাবে প্রমাণীকরণ অনুরোধ ক্যাপচার করবে।
5. ক্যাপচার করা অনুরোধে ডান-ক্লিক করুন এবং “পুনরাবৃত্তে পাঠান” নির্বাচন করুন। এটি আপনাকে আরও বিশ্লেষণের জন্য রিপিটার টুলে অনুরোধটি পুনরায় পাঠানোর অনুমতি দেয়।

ধাপ 3: সেশন ডেটা ম্যানিপুলেট করুন

রিপিটার টুলে প্রমাণীকরণ অনুরোধের সাহায্যে, আপনি সেশন ডেটা ম্যানিপুলেট করতে পারেন এবং বুঝতে পারেন যে অ্যাপ্লিকেশনটি বিভিন্ন সেশন স্টেটের সাথে কীভাবে আচরণ করে। এখানে কিভাবে:

1. Burp Suite-এ, “রিপিটার” ট্যাবে যান।
2. “অনুরোধ” ফলকে প্রমাণীকরণ অনুরোধটি সনাক্ত করুন।
3. সেশন-সম্পর্কিত পরামিতিগুলি সংশোধন করুন, যেমন কুকিজ, টোকেন বা সেশন শনাক্তকারী, সেশন স্টেটে পরিবর্তনের জন্য অ্যাপ্লিকেশনের প্রতিক্রিয়া পরীক্ষা করতে।
4. ওয়েব অ্যাপ্লিকেশনে পরিবর্তিত অনুরোধ পাঠাতে “যাও” বোতামে ক্লিক করুন৷
5. সেশন পরিচালনার সাথে সম্পর্কিত কোনো অস্বাভাবিক আচরণ বা নিরাপত্তা দুর্বলতা সনাক্ত করতে অ্যাপ্লিকেশনটির প্রতিক্রিয়া বিশ্লেষণ করুন।

ধাপ 4: সেশন পরিচালনার নিয়মগুলির সাথে সেশনগুলি বজায় রাখুন

Burp Suite সেশন পরিচালনার নিয়ম তৈরি করার ক্ষমতা প্রদান করে, যা সেশন বজায় রাখতে এবং স্বয়ংক্রিয়ভাবে বিভিন্ন প্রমাণীকরণের পরিস্থিতি পরিচালনা করতে সহায়তা করে। সেশন পরিচালনার নিয়মগুলি কীভাবে সেট আপ করবেন তা এখানে:

1. Burp স্যুটে, “প্রকল্প” ট্যাবের অধীনে “প্রকল্প বিকল্প” এ যান।
2. “সেশন” ট্যাবটি নির্বাচন করুন।
3. একটি নতুন সেশন পরিচালনার নিয়ম তৈরি করতে “যোগ করুন” বোতামে ক্লিক করুন৷
4. শর্ত এবং কর্ম নির্দিষ্ট করে নিয়ম সংজ্ঞায়িত করুন। শর্ত প্রতিক্রিয়া বিষয়বস্তু, স্থিতি কোড, বা অন্যান্য কারণের উপর ভিত্তি করে হতে পারে। সাধারণ ক্রিয়াগুলির মধ্যে রয়েছে প্রতিক্রিয়াগুলি থেকে টোকেন বা সেশন শনাক্তকারী বের করা, কুকিজ আপডেট করা এবং সেশনের অবস্থা বজায় রাখা।
5. তার নামের পাশের বাক্সটি চেক করে সেশন পরিচালনার নিয়মটি সক্ষম করুন৷
6. যে ক্রমে নিয়ম প্রয়োগ করা হয় তা নিয়ন্ত্রণ করতে তালিকায় নিয়মের অবস্থান সামঞ্জস্য করুন।

ধাপ 5: পরীক্ষা সেশন-ভিত্তিক দুর্বলতা

সেশন ভিত্তিক দুর্বলতা যেমন সেশন ফিক্সেশন, সেশন হাইজ্যাকিং এবং সেশন টাইমআউট সমস্যাগুলি পরীক্ষা করার জন্য সেশন পরিচালনা অত্যন্ত গুরুত্বপূর্ণ। এই দুর্বলতাগুলি মূল্যায়ন করতে Burp Suite ব্যবহার করুন:

1. ম্যানুয়ালি বা স্বয়ংক্রিয় টেস্টিং টুলের মাধ্যমে প্রমাণীকৃত সেশন ব্যবহার করে অ্যাপ্লিকেশনের সাথে ইন্টারঅ্যাক্ট করুন।
2. সেশন-সম্পর্কিত আচরণ এবং প্রতিক্রিয়া নিরীক্ষণ এবং বিশ্লেষণ করুন।
3. অনুমানযোগ্য সেশন টোকেন, দুর্বল সেশন ম্যানেজমেন্ট, বা অপর্যাপ্ত সেশন টাইমআউট সেটিংসের মতো দুর্বলতাগুলি সনাক্ত করার চেষ্টা করুন।

ধাপ 6: নথি এবং প্রতিবেদনের ফলাফল

আপনি সেশন পরিচালনার পরীক্ষা করার সময়, সেশন সম্পর্কিত কোনো দুর্বলতা বা ভুল কনফিগারেশন সহ আপনার অনুসন্ধানগুলি নথিভুক্ত করা অপরিহার্য। সুস্পষ্ট এবং ব্যাপক প্রতিবেদন তৈরি করুন যাতে আপনার মূল্যায়নের বিবরণ এবং প্রতিকারের জন্য সুপারিশ অন্তর্ভুক্ত থাকে।

উপসংহার

কালি লিনাক্সে বার্প স্যুটের সাথে ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার একটি গুরুত্বপূর্ণ দিক কার্যকর সেশন পরিচালনা। এই নিবন্ধে বর্ণিত পদক্ষেপগুলি অনুসরণ করে, আপনি ব্যবহারকারীর সেশনগুলিকে বাধা দিতে, ম্যানিপুলেট করতে এবং বজায় রাখতে পারেন, আপনাকে দুর্বলতা সনাক্ত করতে এবং ওয়েব অ্যাপ্লিকেশনগুলির নিরাপত্তা উন্নত করতে সহায়তা করে৷ দায়িত্বশীল নিরাপত্তা পরীক্ষার জন্য সর্বদা নৈতিকভাবে এবং যথাযথ অনুমোদনের সাথে সেশন পরিচালনা করুন।