Burp Suite, একটি জনপ্রিয় ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষার সরঞ্জাম, WebSocket-ভিত্তিক অ্যাপ্লিকেশনগুলি পরীক্ষা করার জন্য শক্তিশালী সমর্থন প্রদান করে। WebSocket হল একটি যোগাযোগ প্রোটোকল যা একটি ক্লায়েন্ট এবং একটি সার্ভারের মধ্যে রিয়েল-টাইম, পূর্ণ-দ্বৈত যোগাযোগ সক্ষম করে। এই নিবন্ধে, আমরা একটি কালি লিনাক্স সিস্টেমে Burp Suite-এর সাথে WebSocket সমর্থন কীভাবে কনফিগার এবং ব্যবহার করব তা অন্বেষণ করব, যা আপনাকে WebSocket-ভিত্তিক ওয়েব অ্যাপ্লিকেশনগুলিতে পুঙ্খানুপুঙ্খ নিরাপত্তা পরীক্ষা করার অনুমতি দেয়।

ধাপ 1: Burp Suite চালু করুন

আপনার Kali Linux সিস্টেমে Burp Suite ইনস্টল করা আছে তা নিশ্চিত করুন। যদি এটি এখনও ইনস্টল না করা হয়, ইনস্টলেশন নির্দেশাবলীর জন্য “কালি লিনাক্সে বার্প স্যুট ইনস্টল করার জন্য ধাপে ধাপে নির্দেশিকা” এ আমাদের পূর্ববর্তী নিবন্ধটি পড়ুন।

একবার ইনস্টল হয়ে গেলে, একটি টার্মিনাল খুলুন এবং টাইপ করে Burp Suite চালু করুন:

burpsuite

ধাপ 2: WebSocket সাপোর্টের জন্য Burp Suite কনফিগার করুন

Burp Suite তার “এক্সটেনশন” বৈশিষ্ট্যের মাধ্যমে WebSocket সমর্থন প্রদান করে। ওয়েবসকেট ইন্টারসেপশন এবং বিশ্লেষণ সক্ষম করতে আপনাকে “ওয়েবসকেট সমর্থন” নামে একটি এক্সটেনশন ইনস্টল এবং কনফিগার করতে হবে:

1. Burp Suite-এ, “Extender” ট্যাবে যান।
2. এক্সটেন্ডারের মধ্যে “BApp স্টোর” ট্যাবে ক্লিক করুন।
3. BApp স্টোরে, “ওয়েবসকেট সমর্থন” অনুসন্ধান করুন৷
4. “ওয়েবসকেট সমর্থন” এক্সটেনশনটি সনাক্ত করুন এবং “ইনস্টল” বোতামে ক্লিক করুন।
5. ইনস্টল হয়ে গেলে, “এক্সটেন্ডার” ট্যাবে ফিরে যান এবং “ওয়েবসকেট সমর্থন” সাব-ট্যাবে ক্লিক করুন৷ নিশ্চিত করুন যে এক্সটেনশন সক্রিয় করা হয়েছে।

ধাপ 3: প্রক্সি হিসাবে Burp Suite ব্যবহার করতে আপনার ব্রাউজার কনফিগার করুন

WebSocket ট্রাফিক নিয়মিত HTTP ট্র্যাফিক (সাধারণত 80 বা 443) হিসাবে একই পোর্টের উপর দিয়ে প্রবাহিত হয়। WebSocket ট্র্যাফিক ক্যাপচার করতে, আপনার ওয়েব ব্রাউজারকে প্রক্সি হিসাবে Burp Suite ব্যবহার করতে কনফিগার করুন, ঠিক যেমন আপনি HTTP ট্র্যাফিকের জন্য চান:

1. আপনার ওয়েব ব্রাউজার খুলুন (যেমন, ফায়ারফক্স)।
2. ব্রাউজারের নেটওয়ার্ক সেটিংস অ্যাক্সেস করুন এবং 127.0.0.1প্রক্সি সার্ভার এবং 8080পোর্ট হিসাবে ব্যবহার করার জন্য HTTP প্রক্সি কনফিগার করুন৷ নিশ্চিত করুন যে প্রক্সি সেটিংস সমস্ত প্রোটোকলের জন্য প্রযোজ্য৷

ধাপ 4: ওয়েবসকেট ট্র্যাফিক আটকান

Burp Suite এবং WebSocket সাপোর্ট এক্সটেনশন কনফিগার করার সাথে, আপনি বিশ্লেষণের জন্য WebSocket ট্র্যাফিক আটকাতে পারেন। এই পদক্ষেপগুলি অনুসরণ করুন:

1. Burp Suite-এ, “Proxy” ট্যাবে যান।
2. ইন্টারসেপশন সক্ষম করতে “Intercept is on” বোতামে ক্লিক করুন। এটা লাল চালু করা উচিত।
3. আপনার ওয়েব ব্রাউজারে, আপনি যে WebSocket-ভিত্তিক ওয়েব অ্যাপ্লিকেশনটি পরীক্ষা করতে চান সেখানে নেভিগেট করুন।
4. Burp Suite WebSocket ট্র্যাফিককে আটকাবে যেভাবে এটি HTTP অনুরোধ এবং প্রতিক্রিয়াগুলির জন্য করে। আপনি “প্রক্সি” ট্যাবের মধ্যে “ওয়েবসকেট” ট্যাবে ওয়েবসকেট ফ্রেমগুলি পর্যালোচনা করতে পারেন৷

ধাপ 5: ওয়েবসকেট ট্রাফিক বিশ্লেষণ করুন

WebSocket ফ্রেমে বার্তা রয়েছে যা ক্লায়েন্ট এবং সার্ভারের মধ্যে পাঠানো যেতে পারে। Burp Suite আপনাকে WebSocket ট্র্যাফিক কার্যকরভাবে বিশ্লেষণ করতে সহায়তা করার জন্য বৈশিষ্ট্যগুলি সরবরাহ করে:

1. Burp Suite-এ, “Proxy” ট্যাবে যান এবং “WebSocket” ট্যাবে ক্লিক করুন।
2. আপনি ইন্টারসেপশনের সময় ক্যাপচার করা ওয়েবসকেট ফ্রেমের একটি তালিকা দেখতে পাবেন।
3. পেলোড, অপকোড এবং দিকনির্দেশ (আগত বা বহির্গামী) সহ এর বিশদ বিবরণ দেখতে একটি ফ্রেমে ক্লিক করুন।
4. বার্প স্যুট আপনাকে আরও বিশ্লেষণ এবং পরীক্ষার জন্য রিপিটার বা অনুপ্রবেশকারী সরঞ্জামগুলিতে ওয়েবসকেট ফ্রেম পাঠাতে দেয়।

ধাপ 6: ওয়েবসকেট-ভিত্তিক দুর্বলতা পরীক্ষা করা

Burp Suite এর সাথে WebSocket ইন্টারসেপশন এবং বিশ্লেষণ আপনাকে বিভিন্ন ধরনের নিরাপত্তা দুর্বলতার জন্য পরীক্ষা করতে সক্ষম করে, যেমন:

• প্রমাণীকরণ এবং অনুমোদন সংক্রান্ত সমস্যা
• তথ্য বৈধতা এবং নিরাপত্তা
• সেশন পরিচালনা
• ইনজেকশন আক্রমণ
• মেসেজ টেম্পারিং এবং ইভসড্রপিং

দুর্বলতা সনাক্ত করতে এবং প্রতিকারের জন্য তাদের রিপোর্ট করতে ক্যাপচার করা WebSocket ট্র্যাফিক ব্যবহার করুন।

উপসংহার

কালি লিনাক্সে বার্প স্যুটের সাথে ওয়েবসকেট সমর্থন ওয়েবসকেট-ভিত্তিক ওয়েব অ্যাপ্লিকেশনগুলি পরীক্ষা এবং সুরক্ষিত করার আপনার ক্ষমতা বাড়ায়। এই নিবন্ধে বর্ণিত পদক্ষেপগুলি অনুসরণ করে, আপনি কার্যকরভাবে WebSocket ট্র্যাফিককে আটকাতে, বিশ্লেষণ করতে এবং পরীক্ষা করতে পারেন, আপনাকে রিয়েল-টাইম যোগাযোগ প্রোটোকলগুলিতে সম্ভাব্য নিরাপত্তা দুর্বলতাগুলি সনাক্ত করতে এবং মোকাবেলা করতে সহায়তা করে৷ নৈতিক হ্যাকিং এবং নিরাপত্তা পরীক্ষার উদ্দেশ্যে সর্বদা দায়িত্বের সাথে এবং যথাযথ অনুমোদনের সাথে WebSocket পরীক্ষা ব্যবহার করুন।