Level 4 – CSRF Attacks (Cross Site Request Forgery) | Web Hacking Bangla Guide

๐Ÿ›ก️ Web Hacking – Level 4

⚔️ CSRF Attacks (Cross Site Request Forgery) – Bangla + English Guide

๐Ÿ” What is CSRF?
CSRF (Cross Site Request Forgery) is a web attack where a hacker tricks the victim's browser into sending unwanted requests using their active login session.
CSRF (Cross Site Request Forgery) เฆนเฆฒো เฆเฆฎเฆจ เฆเฆ• เฆงเฆฐเฆจেเฆฐ เฆ“เฆฏ়েเฆฌ เฆ…্เฆฏাเฆŸাเฆ•, เฆฏেเฆ–াเฆจে เฆน্เฆฏাเฆ•াเฆฐ เฆญিเฆ•เฆŸিเฆฎেเฆฐ เฆฌ্เฆฐাเฆ‰เฆœাเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐে เฆญিเฆ•เฆŸিเฆฎেเฆฐ เฆธেเฆถเฆจ เฆ•ুเฆ•ি เฆฆিเฆฏ়ে เฆ…เฆœাเฆจ্เฆคে request เฆชাเฆ াเฆฏ়।


๐ŸŒ Real World Example:

Imagine a user is logged into a banking website. The attacker sends a hidden request from another site, and funds get transferred using the victim's session.
เฆงเฆฐুเฆจ เฆ•েเฆ‰ เฆฌ্เฆฏাংเฆ• เฆธাเฆ‡เฆŸে เฆฒเฆ—เฆ‡เฆจ เฆ•เฆฐে เฆ†เฆ›ে। เฆน্เฆฏাเฆ•াเฆฐ เฆเฆ•เฆŸি เฆญুเฆฏ়া request เฆชাเฆ াเฆฒে, เฆญিเฆ•เฆŸিเฆฎেเฆฐ เฆ…เฆœাเฆจ্เฆคেเฆ‡ เฆŸাเฆ•াเฆฐ เฆฒেเฆจเฆฆেเฆจ เฆนเฆฏ়ে เฆฏাเฆฏ়।


๐Ÿง  CSRF Attack Steps:

  1. Victim logs into a secure site (session cookie set)
  2. Victim visits a malicious site
  3. Hidden request (form/image) auto-submitted from attacker’s site
  4. Browser sends request with victim’s session
  5. Server thinks the victim sent it
  1. เฆญিเฆ•เฆŸিเฆฎ เฆเฆ•เฆŸি เฆธাเฆ‡เฆŸে เฆฒเฆ—เฆ‡เฆจ เฆ•เฆฐে (เฆธেเฆถเฆจ เฆ•ুเฆ•ি เฆธেเฆŸ เฆนเฆฏ়)
  2. เฆญিเฆ•เฆŸিเฆฎ เฆน্เฆฏাเฆ•াเฆฐ เฆธাเฆ‡เฆŸে เฆช্เฆฐเฆฌেเฆถ เฆ•เฆฐে
  3. เฆธেเฆ‡ เฆธাเฆ‡เฆŸ เฆฅেเฆ•ে เฆเฆ•เฆŸি hidden form เฆฌা image request เฆฏাเฆฏ়
  4. เฆญিเฆ•เฆŸিเฆฎেเฆฐ เฆฌ্เฆฐাเฆ‰เฆœাเฆฐ เฆธেเฆถเฆจ เฆ•ুเฆ•িเฆธเฆน request เฆชাเฆ াเฆฏ়
  5. เฆธাเฆฐ্เฆญাเฆฐ เฆญাเฆฌে เฆเฆŸি เฆญিเฆ•เฆŸিเฆฎ เฆจিเฆœেเฆ‡ เฆชাเฆ িเฆฏ়েเฆ›ে

๐Ÿ’ป Example: CSRF Attack using HTML Form

<!-- CSRF Attack Example -->
<html>
  <body onload="document.forms[0].submit()">
    <form action="http://target-site.com/change-password" method="POST">
      <input type="hidden" name="password" value="hacked123">
    </form>
  </body>
</html>
✅ Code copied!

➡️ เฆเฆ‡ HTML เฆชেเฆ‡เฆœ เฆฒোเฆก เฆนเฆฒেเฆ‡ เฆญিเฆ•เฆŸিเฆฎেเฆฐ เฆฌ্เฆฐাเฆ‰เฆœাเฆฐ target site-เฆ password เฆชเฆฐিเฆฌเฆฐ্เฆคเฆจ เฆ•เฆฐে เฆฆিเฆฌে, เฆฏเฆฆি เฆธে เฆ†เฆ—ে เฆฅেเฆ•ে เฆฒเฆ—เฆ‡เฆจ เฆ•เฆฐা เฆฅাเฆ•ে।


๐Ÿ” How to Prevent CSRF (Token Based Protection)

Best method to prevent CSRF is using a unique CSRF Token per request.

เฆธেเฆฐা เฆช্เฆฐเฆคিเฆฐเฆ•্เฆทা เฆนเฆฒো เฆช্เฆฐเฆคি request เฆเฆฐ เฆœเฆจ্เฆฏ เฆเฆ•เฆŸি เฆ†เฆฒাเฆฆা CSRF token เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐা।

<input type="hidden" name="csrf_token" value="RANDOM_GENERATED_TOKEN">
✅ Code copied!

➡️ เฆเฆ‡ token server-side validate เฆ•เฆฐเฆฌে। เฆน্เฆฏাเฆ•াเฆฐ เฆเฆ‡ token เฆœাเฆจে เฆจা, เฆคাเฆ‡ forged request เฆฌ্เฆฏเฆฐ্เฆฅ เฆนเฆฌে।


๐Ÿ“Œ Real Life Scenario:

Admin Panel URL: http://example.com/delete-user?id=1

<img src="http://example.com/delete-user?id=1">
✅ Code copied!

➡️ เฆญিเฆ•เฆŸিเฆฎ เฆฏเฆฆি admin เฆนเฆฏ়ে เฆฒเฆ—เฆ‡เฆจ เฆ•เฆฐে เฆฅাเฆ•ে เฆเฆฌং เฆน্เฆฏাเฆ•াเฆฐ เฆเฆ‡ img เฆ•োเฆก เฆ•োเฆจো เฆ“เฆฏ়েเฆฌเฆธাเฆ‡เฆŸে เฆฐাเฆ–ে, เฆคাเฆนเฆฒে admin user ID 1 delete เฆนเฆฏ়ে เฆฏাเฆฌে!


๐Ÿงช Practice Task:

  • Install DVWA (Damn Vulnerable Web App) or bWAPP
  • Go to CSRF module
  • Try attacking using hidden forms
  • Observe how session cookie is used
  • DVWA เฆฌা bWAPP install เฆ•เฆฐো
  • CSRF module เฆ เฆฏাเฆ“
  • Hidden form เฆฆিเฆฏ়ে attack เฆšেเฆท্เฆŸা เฆ•เฆฐো
  • Session cookie เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆฒเฆ•্เฆท্เฆฏ เฆ•เฆฐো

❓ Q&A:

Q: CSRF เฆ†เฆฐ XSS เฆ•ি เฆเฆ•เฆ‡?
A: เฆจা। XSS เฆคে JavaScript execute เฆนเฆฏ়, CSRF เฆคে เฆญিเฆ•เฆŸিเฆฎেเฆฐ session เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐে request เฆชাเฆ াเฆจো เฆนเฆฏ়।

Q: เฆถুเฆงু POST request เฆฆিเงŸে เฆนเงŸ?
A: เฆจা, GET method เฆฆিเงŸেเฆ“ เฆนเงŸ। Image tag เฆฌা link เฆฆিเงŸেเฆ“ CSRF เฆธเฆฎ্เฆญเฆฌ।


๐Ÿ End Note:

CSRF เฆฌুเฆเฆคে เฆเฆฌং เฆช্เฆฐ‍্เฆฏাเฆ•เฆŸিเฆธ เฆ•เฆฐเฆคে เฆนเฆฒে เฆญাเฆฒো เฆ•เฆฐে เฆชเฆฐীเฆ•্เฆทা เฆ•เฆฐเฆคে เฆนเฆฌে เฆ•োเฆจ เฆธাเฆ‡เฆŸ เฆŸোเฆ•েเฆจ เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐে เฆ†เฆฐ เฆ•োเฆจเฆŸা เฆ•เฆฐে เฆจা। DVWA เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆ…เฆจেเฆ• เฆธเฆนเฆœে เฆช্เฆฐ‍্เฆฏাเฆ•เฆŸিเฆธ เฆ•เฆฐা เฆฏাเงŸ।


๐Ÿท️ Suggested Tags:

csrf attacks, csrf bangla, csrf token, web hacking bangla, dvwa csrf, ethical hacking tutorial, csrf explained