๐ก️ Web Hacking – Level 4
⚔️ CSRF Attacks (Cross Site Request Forgery) – Bangla + English Guide
๐ What is CSRF?
CSRF (Cross Site Request Forgery) is a web attack where a hacker tricks the victim's browser into sending unwanted requests using their active login session.
CSRF (Cross Site Request Forgery) เฆนเฆฒো เฆเฆฎเฆจ เฆเฆ เฆงเฆฐเฆจেเฆฐ เฆเฆฏ়েเฆฌ เฆ
্เฆฏাเฆাเฆ, เฆฏেเฆাเฆจে เฆน্เฆฏাเฆাเฆฐ เฆญিเฆเฆিเฆฎেเฆฐ เฆฌ্เฆฐাเฆเฆাเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆเฆฐে เฆญিเฆเฆিเฆฎেเฆฐ เฆธেเฆถเฆจ เฆুเฆি เฆฆিเฆฏ়ে เฆ
เฆাเฆจ্เฆคে request เฆชাเฆ াเฆฏ়।
๐ Real World Example:
Imagine a user is logged into a banking website. The attacker sends a hidden request from another site, and funds get transferred using the victim's session.
เฆงเฆฐুเฆจ เฆেเฆ เฆฌ্เฆฏাংเฆ เฆธাเฆเฆে เฆฒเฆเฆเฆจ เฆเฆฐে เฆเฆে। เฆน্เฆฏাเฆাเฆฐ เฆเฆเฆি เฆญুเฆฏ়া request เฆชাเฆ াเฆฒে, เฆญিเฆเฆিเฆฎেเฆฐ เฆ
เฆাเฆจ্เฆคেเฆ เฆাเฆাเฆฐ เฆฒেเฆจเฆฆেเฆจ เฆนเฆฏ়ে เฆฏাเฆฏ়।
๐ง CSRF Attack Steps:
- Victim logs into a secure site (session cookie set)
- Victim visits a malicious site
- Hidden request (form/image) auto-submitted from attacker’s site
- Browser sends request with victim’s session
- Server thinks the victim sent it
- เฆญিเฆเฆিเฆฎ เฆเฆเฆি เฆธাเฆเฆে เฆฒเฆเฆเฆจ เฆเฆฐে (เฆธেเฆถเฆจ เฆুเฆি เฆธেเฆ เฆนเฆฏ়)
- เฆญিเฆเฆিเฆฎ เฆน্เฆฏাเฆাเฆฐ เฆธাเฆเฆে เฆช্เฆฐเฆฌেเฆถ เฆเฆฐে
- เฆธেเฆ เฆธাเฆเฆ เฆฅেเฆে เฆเฆเฆি hidden form เฆฌা image request เฆฏাเฆฏ়
- เฆญিเฆเฆিเฆฎেเฆฐ เฆฌ্เฆฐাเฆเฆাเฆฐ เฆธেเฆถเฆจ เฆুเฆিเฆธเฆน request เฆชাเฆ াเฆฏ়
- เฆธাเฆฐ্เฆญাเฆฐ เฆญাเฆฌে เฆเฆি เฆญিเฆเฆিเฆฎ เฆจিเฆেเฆ เฆชাเฆ িเฆฏ়েเฆে
๐ป Example: CSRF Attack using HTML Form
<!-- CSRF Attack Example -->
<html>
<body onload="document.forms[0].submit()">
<form action="http://target-site.com/change-password" method="POST">
<input type="hidden" name="password" value="hacked123">
</form>
</body>
</html>
✅ Code copied!
➡️ เฆเฆ HTML เฆชেเฆเฆ เฆฒোเฆก เฆนเฆฒেเฆ เฆญিเฆเฆিเฆฎেเฆฐ เฆฌ্เฆฐাเฆเฆাเฆฐ target site-เฆ password เฆชเฆฐিเฆฌเฆฐ্เฆคเฆจ เฆเฆฐে เฆฆিเฆฌে, เฆฏเฆฆি เฆธে เฆเฆে เฆฅেเฆে เฆฒเฆเฆเฆจ เฆเฆฐা เฆฅাเฆে।
๐ How to Prevent CSRF (Token Based Protection)
Best method to prevent CSRF is using a unique CSRF Token per request.
เฆธেเฆฐা เฆช্เฆฐเฆคিเฆฐเฆ্เฆทা เฆนเฆฒো เฆช্เฆฐเฆคি request เฆเฆฐ เฆเฆจ্เฆฏ เฆเฆเฆি เฆเฆฒাเฆฆা CSRF token เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆเฆฐা।
<input type="hidden" name="csrf_token" value="RANDOM_GENERATED_TOKEN">
✅ Code copied!
➡️ เฆเฆ token server-side validate เฆเฆฐเฆฌে। เฆน্เฆฏাเฆাเฆฐ เฆเฆ token เฆাเฆจে เฆจা, เฆคাเฆ forged request เฆฌ্เฆฏเฆฐ্เฆฅ เฆนเฆฌে।
๐ Real Life Scenario:
Admin Panel URL: http://example.com/delete-user?id=1
<img src="http://example.com/delete-user?id=1">
✅ Code copied!
➡️ เฆญিเฆเฆিเฆฎ เฆฏเฆฆি admin เฆนเฆฏ়ে เฆฒเฆเฆเฆจ เฆเฆฐে เฆฅাเฆে เฆเฆฌং เฆน্เฆฏাเฆাเฆฐ เฆเฆ img เฆোเฆก เฆোเฆจো เฆเฆฏ়েเฆฌเฆธাเฆเฆে เฆฐাเฆে, เฆคাเฆนเฆฒে admin user ID 1 delete เฆนเฆฏ়ে เฆฏাเฆฌে!
๐งช Practice Task:
- Install DVWA (Damn Vulnerable Web App) or bWAPP
- Go to CSRF module
- Try attacking using hidden forms
- Observe how session cookie is used
- DVWA เฆฌা bWAPP install เฆเฆฐো
- CSRF module เฆ เฆฏাเฆ
- Hidden form เฆฆিเฆฏ়ে attack เฆেเฆท্เฆা เฆเฆฐো
- Session cookie เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆฒเฆ্เฆท্เฆฏ เฆเฆฐো
❓ Q&A:
Q: CSRF เฆเฆฐ XSS เฆি เฆเฆเฆ?
A: เฆจা। XSS เฆคে JavaScript execute เฆนเฆฏ়, CSRF เฆคে เฆญিเฆเฆিเฆฎেเฆฐ session เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆเฆฐে request เฆชাเฆ াเฆจো เฆนเฆฏ়।
Q: เฆถুเฆงু POST request เฆฆিเงে เฆนเง?
A: เฆจা, GET method เฆฆিเงেเฆ เฆนเง। Image tag เฆฌা link เฆฆিเงেเฆ CSRF เฆธเฆฎ্เฆญเฆฌ।
๐ End Note:
CSRF เฆฌুเฆเฆคে เฆเฆฌং เฆช্เฆฐ্เฆฏাเฆเฆিเฆธ เฆเฆฐเฆคে เฆนเฆฒে เฆญাเฆฒো เฆเฆฐে เฆชเฆฐীเฆ্เฆทা เฆเฆฐเฆคে เฆนเฆฌে เฆোเฆจ เฆธাเฆเฆ เฆোเฆেเฆจ เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆเฆฐে เฆเฆฐ เฆোเฆจเฆা เฆเฆฐে เฆจা। DVWA เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆ เฆจেเฆ เฆธเฆนเฆে เฆช্เฆฐ্เฆฏাเฆเฆিเฆธ เฆเฆฐা เฆฏাเง।
๐ท️ Suggested Tags:
csrf attacks, csrf bangla, csrf token, web hacking bangla, dvwa csrf, ethical hacking tutorial, csrf explained
0 Comments
“Please share your thoughts or questions below. Only Google account users can comment.”