জুম ওয়েব কনফারেন্সিংয়ের জন্য একটি বহুল ব্যবহৃত টুল, তবে এটি ওয়ার্ডপ্রেস ইনস্টলেশনে ব্যবহারকারীর নাম গণনার জন্য আক্রমণকারীদের দ্বারাও ব্যবহার করা যেতে পারে। ব্যবহারকারীর নাম গণনা হল একটি টার্গেট সিস্টেমের জন্য বৈধ ব্যবহারকারীর নাম আবিষ্কার করার প্রক্রিয়া, যা পরবর্তী আক্রমণে ব্যবহার করা যেতে পারে যেমন ব্রুট-ফোর্সিং পাসওয়ার্ড বা লক্ষ্যযুক্ত ফিশিং প্রচারাভিযান চালু করা। এই প্রেক্ষাপটে, জুম ওয়ার্ডপ্রেসের একটি নির্দিষ্ট দুর্বলতাকে কাজে লাগিয়ে ব্যবহারকারীর নাম গণনায় সহায়তা করতে পারে।
জুম কীভাবে ব্যবহারকারীর নাম গণনাকে সহজতর করে তা বোঝার জন্য, আমাদের অন্তর্নিহিত দুর্বলতাগুলি অনুসন্ধান করতে হবে যা এটি শোষণ করে। ওয়ার্ডপ্রেস, একটি জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম, প্রায়ই আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু হয়। ওয়ার্ডপ্রেসের একটি সাধারণ দুর্বলতা হল পাসওয়ার্ড রিসেট কার্যকারিতার মাধ্যমে ব্যবহারকারীর নাম গণনা করার ক্ষমতা।
যখন একজন ব্যবহারকারী ওয়ার্ডপ্রেসে পাসওয়ার্ড রিসেট করার অনুরোধ করেন, প্রদত্ত ব্যবহারকারীর নাম বিদ্যমান আছে কি না তার উপর নির্ভর করে সিস্টেম একটি নির্দিষ্ট ত্রুটি বার্তার সাথে প্রতিক্রিয়া জানায়। ব্যবহারকারীর নামটি বিদ্যমান থাকলে, ওয়ার্ডপ্রেস একটি ত্রুটি বার্তা প্রদর্শন করে যাতে বলা হয় যে সংশ্লিষ্ট ইমেল ঠিকানায় একটি ইমেল পাঠানো হয়েছে। অন্যদিকে, ব্যবহারকারীর নামটি না থাকলে, ওয়ার্ডপ্রেস একটি ভিন্ন ত্রুটি বার্তা প্রদর্শন করে যে ব্যবহারকারীর নামটি অবৈধ।
আক্রমণকারীরা সম্ভাব্য ব্যবহারকারীর নামের তালিকার জন্য পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করে বৈধ ব্যবহারকারীর নাম গণনা করার জন্য এই আচরণটি ব্যবহার করতে পারে। পাসওয়ার্ড পুনরায় সেট করার অনুরোধের সময় প্রাপ্ত ত্রুটি বার্তাগুলি পর্যবেক্ষণ করে, আক্রমণকারীরা নির্ধারণ করতে পারে কোন ব্যবহারকারীর নাম বৈধ এবং কোনটি নয়৷
এখানেই জুম খেলায় আসে। জুম ব্যবহারকারীদের ওয়েব কনফারেন্সের সময় তাদের স্ক্রিন শেয়ার করতে দেয়, অংশগ্রহণকারীদের উপস্থাপিত বিষয়বস্তু দেখতে সক্ষম করে। একজন আক্রমণকারী তাদের স্ক্রীন ভাগ করে এবং সম্ভাব্য ব্যবহারকারীর নামের তালিকার জন্য পাসওয়ার্ড পুনরায় সেট করার অনুরোধ শুরু করে এই বৈশিষ্ট্যটি ব্যবহার করতে পারে। শেয়ার্ড স্ক্রিনে প্রদর্শিত ত্রুটি বার্তাগুলি পর্যবেক্ষণ করে, আক্রমণকারী সহজেই সনাক্ত করতে পারে যে ওয়ার্ডপ্রেস ইনস্টলেশনে কোন ব্যবহারকারীর নাম বিদ্যমান।
এটি লক্ষণীয় যে ব্যবহারকারীর নাম গণনার এই পদ্ধতিটি এই ধারণার উপর নির্ভর করে যে ওয়ার্ডপ্রেস ইনস্টলেশন এই ধরনের আক্রমণ প্রতিরোধ করার জন্য কোন পাল্টা ব্যবস্থা প্রয়োগ করেনি। ওয়ার্ডপ্রেস ডেভেলপাররা পাসওয়ার্ড রিসেট প্রক্রিয়া চলাকালীন প্রদর্শিত ত্রুটির বার্তাগুলি জেনেরিক এবং ব্যবহারকারীর নাম বিদ্যমান কিনা তা প্রকাশ করে না তা নিশ্চিত করে এই দুর্বলতা প্রশমিত করতে পারে। উপরন্তু, রেট সীমিতকরণ বা ক্যাপচা পদ্ধতি প্রয়োগ করা স্বয়ংক্রিয় গণনার প্রচেষ্টা প্রতিরোধ করতে সাহায্য করতে পারে।
সংক্ষেপে বলতে গেলে, পাসওয়ার্ড রিসেট কার্যকারিতার দুর্বলতাকে কাজে লাগিয়ে ওয়ার্ডপ্রেস ইনস্টলেশনের জন্য জুম ব্যবহারকারীর নাম গণনায় সহায়তা করতে পারে। একটি ওয়েব কনফারেন্সের সময় তাদের স্ক্রিন ভাগ করে, একজন আক্রমণকারী সম্ভাব্য ব্যবহারকারীর নামগুলির একটি তালিকার জন্য পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করতে পারে এবং বৈধ ব্যবহারকারীর নাম নির্ধারণ করতে প্রদর্শিত ত্রুটি বার্তাগুলি পর্যবেক্ষণ করতে পারে৷ ওয়ার্ডপ্রেস অ্যাডমিনিস্ট্রেটরদের জন্য এই ধরনের গণনা আক্রমণ প্রতিরোধ করার জন্য উপযুক্ত পাল্টা ব্যবস্থা বাস্তবায়ন করা অত্যন্ত গুরুত্বপূর্ণ।
সম্পর্কিত অন্যান্য সাম্প্রতিক প্রশ্ন এবং উত্তর EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং:
- কিভাবে আমরা বাস্তবে নৃশংস শক্তি আক্রমণ থেকে রক্ষা করতে পারি?
- Burp Suite কি জন্য ব্যবহার করা হয়?
- ডিরেক্টরি ট্র্যাভার্সাল ফাজিং কি বিশেষভাবে ওয়েব অ্যাপ্লিকেশনগুলি ফাইল সিস্টেম অ্যাক্সেসের অনুরোধগুলি পরিচালনা করার ক্ষেত্রে দুর্বলতাগুলি আবিষ্কার করার জন্য লক্ষ্য করে?
- পেশাদার এবং সম্প্রদায় বার্প স্যুটের মধ্যে পার্থক্য কী?
- কিভাবে ModSecurity কার্যকারিতার জন্য পরীক্ষা করা যেতে পারে এবং Nginx এ এটি সক্ষম বা নিষ্ক্রিয় করার পদক্ষেপগুলি কী কী?
- কিভাবে ModSecurity মডিউল Nginx এ সক্ষম করা যায় এবং প্রয়োজনীয় কনফিগারেশন কি কি?
- Nginx-এ ModSecurity ইনস্টল করার পদক্ষেপগুলি কী কী, বিবেচনা করে যে এটি আনুষ্ঠানিকভাবে সমর্থিত নয়?
- Nginx সুরক্ষিত করার ক্ষেত্রে ModSecurity Engine X সংযোগকারীর উদ্দেশ্য কী?
- ওয়েব অ্যাপ্লিকেশনগুলিকে সুরক্ষিত করতে কীভাবে ModSecurity Nginx এর সাথে একত্রিত করা যেতে পারে?
- সাধারণ নিরাপত্তা দুর্বলতা থেকে রক্ষা করার জন্য কীভাবে ModSecurity এর কার্যকারিতা নিশ্চিত করতে পরীক্ষা করা যেতে পারে?
EITC/IS/WAPT ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং-এ আরও প্রশ্ন ও উত্তর দেখুন