বাগ হান্টিং নিয়ে কয়েকটি প্রশ্ন ও উওর

আসসালামু আলাইকুম

বাগ হান্টিং করতে গিয়ে আমরা অনেক সমস্যায় পড়ি এমনকি বাগ হান্টিং করব কিনা সেই ডিসিশনেও সমস্যা। বাগ হান্টিং যে আপনাকে পেশা হিসেবেই নিতে হবে এমন কোন কথা নেই।হতে পারে আপনার অনেক শখ আছে তার মধ্যে বাগ হান্টিং একটি।বাগ হান্টিং আপনার শখ হতে পারি এমনকি আপনার পেশাও হতে পারে।যাই হোক না কেন আমি ধরে নিচ্ছি আপনি মন স্থির করেছেন যে বাগ হান্টিং শিখবেন। আজকে বাগ হান্টিং নিয়ে কয়েকটি প্রশ্ন ও উওর এর ব্যাপারে আলোচনা করব।

বাগ হান্টিংয়ের জন্য প্রোগ্রামিং কি লাগবেই?

উওরঃ হ্যাঁ লাগবেই। অনেকেই প্রোগ্রামিং না শিখে বিভিন্ন টুলস দিয়ে পেনটেস্টিং করতে চায়। কিন্তু আপনি কোডিং এর ভুল ধরবেন আর কোডিং না জানলে ভুল ধরবেন কিভাবে? টুলস ব্যবহার করে তো আর সব কিছু করা যায় না। অনেকেই সফটওয়্যার বেসড পেনটেস্টিং সেবা দেয়, কিন্তু আমার মতামত হয়তো তাদের সাথে মিলতে নাও পারে, কেননা সফটওয়্যার গদ বাধা কতগুলো রুলস মেনে কাজ করে, এখন ধরি একটা পেনটেস্ট সফটওয়্যারের রুলস দেয়া আছে base64(eval() এই টাইপের কিছু ফাংশন পেলেই সেটাকে একটা বাগ কিংবা ব্যাকডোর হিসেবে চিহ্নিত করতে হবে, কিন্তু ঐ ফাংশনটা প্রোগামের একটা অংশ কিনা সেটা কিন্তু সফটওয়্যারটি বুঝবে না এখানে এটা হলো ঝামেলা।

তবে বড় বড় সাইট গুলোতে যেখানে লক্ষাধিক ফাইল থাকে সেখানে একজন মানুষের পক্ষে সব কোড চেক করা সম্ভব না, সো সেখানে সফটওয়ারের ওপর নির্ভর করতেই হয়, তাই সফটওয়্যার রিপোর্ট জেনারেট করার পরে সেটার রিপোর্ট অনুযায়ী প্রবলেম গুলো ও একটু ম্যানুয়্যালি দেখে নিতে পারলে ভাল হয়, কেননা অনেক সময় ফলস রেজাল্টও থাকে। এইটা সম্পূর্ন আনন্দ ধারা আপুর নিজস্ব মতামত, কারও এতে দ্বিমত থাকতেই পারে সো বেটার যারা বেশি প্রফেসনাল এবং এক্সপেরিয়েন্সড তাদের সাথে কথা বলে কাজ শুরু করা। একসময় সবাই অনুভব করে যে এডভান্স কিছু করতে গেলে প্রোগ্রামিং লাগবেই।

কোন কোন বাগ নিয়ে স্টাডি করা সহজ?

উওরঃ আমার মতে আপনার উচিৎ owasp এর বাগ রিস্ক গুলা দেখা ২০০৭ এর টপ টেনে কোন বাগ ছিল তারপরের বারের গুলাতে কোন কোন বাগ আছে তা চেক করা এবং সহজ কোন কোন বাগ তা চেক করা। সহজ হবে আপনার জন্য client side বাগ নিয়ে স্টাডি করা। idor,csrf,xss's,injections,subdomain takeover,Business Logic Flaw সিরিয়াসলি এইসব বাগ শিখাই ভালো হবে।

প্রোগ্রামিং ছাড়া কি বাগ নিয়ে স্টাডি করা যাবে না?

উওরঃ বাগ নিয়ে স্টাডি করতে চাইলে প্রোগ্রামিং জানা লাগবে।আর আপনি যদি প্রোগ্রামিং ছাড়াও বাগ গুলা নিয়ে স্টাডি করতে পারেন তা একান্ত আপনার বিষয়।সাধারণত html আর js হালকা জানা থাকলেই বেশ কিছু বাগ নিয়ে স্টাডি করা যায়।

বাগ হান্টিং কি ফোন দিয়ে করা সম্ভব?

উওরঃ হ্যাঁ।

আমি প্রোগ্রামিং শিখব না বাগ ফাইন্ডার দিয়ে বাগ বাহির করব, বাগ এক্সপ্লয়েটার ব্যবহার করে বাগ বাইপাস করব,অন্যের রিপোর্ট মোডিফাই করে রিপোর্ট লিখব হবে না?

উওরঃ না হবে না। ধরুন আপনি burp suite ব্যবহার করে বাগ পাইলেন এবং এক্সপ্লয়েট করলেন এবং রিপোর্ট মোডিফাই করে রিপোর্টও লিখলেন কিন্তু তারপর? প্রতিবারতো আর বাগ পাবেন না এবং আপনি যা করলেন কিভাবে কি করলেন তা নিজেই বুঝলেন না।

বাগ নিয়ে স্টাডি করতে চাই বাগগুলোর ডিটেইলস পাব কোথায়?

উওরঃ পেনটেস্টিং শিখার জন্য গুগলের থেকে ভালো সাইট নেই। আপনি হ্যাকারওয়ানে একাউন্ট খুলে বা বিভিন্ন হ্যাকিং ফোরাম থেকে বাগ গুলো নিয়ে স্টাডি করতে পারেন।

client side বাগ আর server side বাগের মধ্যে তফাৎ কি?

উওরঃ ধরুন আপনি ফেসবুকের কোন আইডির কোন বাগ পাইলেন সেটা হচ্ছে client সাইড বাগ আর যদি ফেসবুক ওয়েবসাইটের কোন বাগ পান তাইলে সেটা হচ্ছে server সাইড বাগ।

বাগ হান্টার হব কিভাবে?

উওরঃ https://www.techtunes.io/hacking/tune-id/506125

*আমার কথাগুলোর সাথে কারও এতে দ্বিমত থাকতেই পারে সো বেটার যারা বেশি প্রফেশনাল এবং এক্সপেরিয়েন্সড তাদের সাথে কথা বলে কাজ শুরু করা।

যদি ভুল কি বলে থাকি ক্ষমা করবেন এবং কি ভুল বলছি তা জানাবেন।

আমার ফেসবুক আইডি

Level 1

আমি মোঃ রেজওয়ানুল হক স্বজন। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 7 বছর 4 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 13 টি টিউন ও 2 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 3 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস

ভালো ছিলো। চালায় যা ভাই 🙂