আসসালামু আলাইকুম
বাগ হান্টিং করতে গিয়ে আমরা অনেক সমস্যায় পড়ি এমনকি বাগ হান্টিং করব কিনা সেই ডিসিশনেও সমস্যা। বাগ হান্টিং যে আপনাকে পেশা হিসেবেই নিতে হবে এমন কোন কথা নেই।হতে পারে আপনার অনেক শখ আছে তার মধ্যে বাগ হান্টিং একটি।বাগ হান্টিং আপনার শখ হতে পারি এমনকি আপনার পেশাও হতে পারে।যাই হোক না কেন আমি ধরে নিচ্ছি আপনি মন স্থির করেছেন যে বাগ হান্টিং শিখবেন। আজকে বাগ হান্টিং নিয়ে কয়েকটি প্রশ্ন ও উওর এর ব্যাপারে আলোচনা করব।
উওরঃ হ্যাঁ লাগবেই। অনেকেই প্রোগ্রামিং না শিখে বিভিন্ন টুলস দিয়ে পেনটেস্টিং করতে চায়। কিন্তু আপনি কোডিং এর ভুল ধরবেন আর কোডিং না জানলে ভুল ধরবেন কিভাবে? টুলস ব্যবহার করে তো আর সব কিছু করা যায় না। অনেকেই সফটওয়্যার বেসড পেনটেস্টিং সেবা দেয়, কিন্তু আমার মতামত হয়তো তাদের সাথে মিলতে নাও পারে, কেননা সফটওয়্যার গদ বাধা কতগুলো রুলস মেনে কাজ করে, এখন ধরি একটা পেনটেস্ট সফটওয়্যারের রুলস দেয়া আছে base64(eval() এই টাইপের কিছু ফাংশন পেলেই সেটাকে একটা বাগ কিংবা ব্যাকডোর হিসেবে চিহ্নিত করতে হবে, কিন্তু ঐ ফাংশনটা প্রোগামের একটা অংশ কিনা সেটা কিন্তু সফটওয়্যারটি বুঝবে না এখানে এটা হলো ঝামেলা।
তবে বড় বড় সাইট গুলোতে যেখানে লক্ষাধিক ফাইল থাকে সেখানে একজন মানুষের পক্ষে সব কোড চেক করা সম্ভব না, সো সেখানে সফটওয়ারের ওপর নির্ভর করতেই হয়, তাই সফটওয়্যার রিপোর্ট জেনারেট করার পরে সেটার রিপোর্ট অনুযায়ী প্রবলেম গুলো ও একটু ম্যানুয়্যালি দেখে নিতে পারলে ভাল হয়, কেননা অনেক সময় ফলস রেজাল্টও থাকে। এইটা সম্পূর্ন আনন্দ ধারা আপুর নিজস্ব মতামত, কারও এতে দ্বিমত থাকতেই পারে সো বেটার যারা বেশি প্রফেসনাল এবং এক্সপেরিয়েন্সড তাদের সাথে কথা বলে কাজ শুরু করা। একসময় সবাই অনুভব করে যে এডভান্স কিছু করতে গেলে প্রোগ্রামিং লাগবেই।
উওরঃ আমার মতে আপনার উচিৎ owasp এর বাগ রিস্ক গুলা দেখা ২০০৭ এর টপ টেনে কোন বাগ ছিল তারপরের বারের গুলাতে কোন কোন বাগ আছে তা চেক করা এবং সহজ কোন কোন বাগ তা চেক করা। সহজ হবে আপনার জন্য client side বাগ নিয়ে স্টাডি করা। idor,csrf,xss's,injections,subdomain takeover,Business Logic Flaw সিরিয়াসলি এইসব বাগ শিখাই ভালো হবে।
উওরঃ বাগ নিয়ে স্টাডি করতে চাইলে প্রোগ্রামিং জানা লাগবে।আর আপনি যদি প্রোগ্রামিং ছাড়াও বাগ গুলা নিয়ে স্টাডি করতে পারেন তা একান্ত আপনার বিষয়।সাধারণত html আর js হালকা জানা থাকলেই বেশ কিছু বাগ নিয়ে স্টাডি করা যায়।
উওরঃ হ্যাঁ।
উওরঃ না হবে না। ধরুন আপনি burp suite ব্যবহার করে বাগ পাইলেন এবং এক্সপ্লয়েট করলেন এবং রিপোর্ট মোডিফাই করে রিপোর্টও লিখলেন কিন্তু তারপর? প্রতিবারতো আর বাগ পাবেন না এবং আপনি যা করলেন কিভাবে কি করলেন তা নিজেই বুঝলেন না।
উওরঃ পেনটেস্টিং শিখার জন্য গুগলের থেকে ভালো সাইট নেই। আপনি হ্যাকারওয়ানে একাউন্ট খুলে বা বিভিন্ন হ্যাকিং ফোরাম থেকে বাগ গুলো নিয়ে স্টাডি করতে পারেন।
উওরঃ ধরুন আপনি ফেসবুকের কোন আইডির কোন বাগ পাইলেন সেটা হচ্ছে client সাইড বাগ আর যদি ফেসবুক ওয়েবসাইটের কোন বাগ পান তাইলে সেটা হচ্ছে server সাইড বাগ।
উওরঃ https://www.techtunes.io/hacking/tune-id/506125
*আমার কথাগুলোর সাথে কারও এতে দ্বিমত থাকতেই পারে সো বেটার যারা বেশি প্রফেশনাল এবং এক্সপেরিয়েন্সড তাদের সাথে কথা বলে কাজ শুরু করা।
যদি ভুল কি বলে থাকি ক্ষমা করবেন এবং কি ভুল বলছি তা জানাবেন।
আমি মোঃ রেজওয়ানুল হক স্বজন। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 6 বছর 8 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 13 টি টিউন ও 2 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 3 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
ভালো ছিলো। চালায় যা ভাই 🙂