🚀 ম্যানুয়াল সিকিউরিটি টেস্টিং – কোনো টুল লাগবে না! 🔐
অনেকেই মনে করেন, সাইবার সিকিউরিটি মানেই শুধু Burp Suite, Nmap বা অন্য কোনো অ্যাডভান্সড টুল! 🤔 কিন্তু বাস্তবে, শুধুমাত্র ব্রাউজার এবং কিছু সহজ কৌশল ব্যবহার করেও অনেক নিরাপত্তা দুর্বলতা (Vulnerabilities) চিহ্নিত করা সম্ভব।
এই গাইডে, ১০টি ম্যানুয়াল সিকিউরিটি টেস্টিং টেকনিক শিখবেন, যা কোনো টুল ছাড়াই ওয়েব অ্যাপের নিরাপত্তা পরীক্ষা করতে সাহায্য করবে! 🔥
1️⃣ XSS (Cross-Site Scripting) টেস্টিং 🎭
XSS দুর্বলতার কারণে আক্রমণকারী ব্যবহারকারীর ব্রাউজারে স্ক্রিপ্ট চালাতে পারে, যার ফলে তথ্য চুরি, সেশন হাইজ্যাক, বা ম্যালিশিয়াস রিডাইরেকশন হতে পারে।
✅ ইনপুট ফিল্ডে নিচের কোড লিখে টেস্ট করুন:
<script>alert('XSS')</script>
এটি পেজে রান হলে বুঝতে হবে XSS দুর্বলতা আছে।
✅ ইউজারনেম বা সার্চ বক্সে HTML/Javascript ইনজেক্ট করে দেখুন, স্ক্রিপ্ট এক্সিকিউট হয় কিনা।
✅ URL এর শেষে নিচের মতো ইনজেকশন দিন এবং চেক করুন:
?q=<script>alert(1)</script>2️⃣ SQL Injection (SQLi) ম্যানুয়ালি খুঁজুন 💾
SQL Injection এর মাধ্যমে একজন আক্রমণকারী ডাটাবেসের কন্ট্রোল নিতে পারে। এটি যাচাই করতে নিচের পদ্ধতিগুলো অনুসরণ করুন:
✅ লগইন ফর্মে ইনজেকশন দিন:
' OR '1'='1
যদি এটি ব্যবহারের পর লগইন সফল হয়, তাহলে SQL Injection সম্ভব।
✅ URL প্যারামিটারে SQLi চেক করুন:
?id=1' OR '1'='1
✅ Bonus: SQL Error খুঁজুন:
?id=1 ORDER BY 10--
যদি SQL error আসে, তবে বোঝা যাবে ইনজেকশন সম্ভব।
3️⃣ Broken Authentication খুঁজুন 🔑
এই দুর্বলতার কারণে আক্রমণকারীরা অনুমতি ছাড়াই অন্যের অ্যাকাউন্ট অ্যাক্সেস করতে পারে।
✅ Cookies & Session Tokens চেক করুন:
- Chrome DevTools → Application → Cookies এ গিয়ে চেক করুন, লগইন টোকেন পরিবর্তন করা যায় কিনা।
✅ লগআউটের পর Back Button চাপুন:
- যদি সিকিউর পেজে ফিরে যেতে পারেন, তাহলে সেশন ঠিকমতো শেষ হয়নি।
✅ এক ডিভাইসে লগইন করার পর অন্য ডিভাইসে সেশন এক্সপায়ার হয় কিনা চেক করুন।
4️⃣ Broken Access Control টেস্ট করুন 🚪
অনুমোদনবিহীন ব্যবহারকারী কি সংবেদনশীল ডাটা অ্যাক্সেস করতে পারছে? এটি যাচাই করুন!
✅ অ্যাডমিন পেজে ঢোকার চেষ্টা করুন:
/admin, /dashboard, /config
✅ ID Manipulation টেস্ট করুন:
?user_id=123 → পরিবর্তন করে ?user_id=124
✅ লগইন ছাড়াই API কল করা যায় কিনা চেক করুন।
5️⃣ Sensitive Data Exposure – সিক্রেট ফাঁস হচ্ছে? 🔓
অনেক সময়, ডেভেলপাররা ভুলবশত সিক্রেট ডাটা উন্মুক্ত করে ফেলেন।
✅ robots.txt, .env, config.json ফাইল চেক করুন – সেখানে API Keys বা Database Credentials আছে কিনা দেখুন।
✅ Page Source (Ctrl + U) খুলে দেখুন – কোনো hidden credentials বা sensitive data লিক হচ্ছে কিনা।
✅ Chrome DevTools → Network Tab চেক করুন – সিক্রেট API Keys লোড হচ্ছে কিনা।
6️⃣ CSRF (Cross-Site Request Forgery) ম্যানুয়ালি পরীক্ষা করুন 🎭
✅ Same-Site Cookie Attribute নেই কিনা চেক করুন:
- Chrome DevTools → Application → Cookies থেকে
SameSiteমানNoneহলে ঝুঁকি বেশি।
✅ HTML Form তৈরি করে অন্য ইউজারের পক্ষে অনিচ্ছাকৃত রিকোয়েস্ট পাঠানো যায় কিনা দেখুন।
7️⃣ Open Redirect & URL Manipulation চেক করুন 🌍
✅ Login/Logout URL-এ পরিবর্তন করে টেস্ট করুন:
?redirect=https://evil.com
✅ Query Parameter পরিবর্তন করুন:
?next=https://attacker.com
যদি এটি ক্লিক করার পর অন্য সাইটে রিডাইরেক্ট করে, তবে এটি একটি নিরাপত্তা দুর্বলতা!
8️⃣ Security Headers ম্যানুয়ালি চেক করুন 🛡️
✅ https://securityheaders.com দিয়ে ওয়েবসাইটের CSP, HSTS, X-Frame-Options চেক করুন।
✅ Chrome DevTools → Network → Response Headers চেক করুন, X-XSS-Protection, Content-Security-Policy অনুপস্থিত কিনা।
9️⃣ Weak Password Policy চেক করুন 🔓
✅ "admin", "password123" দিয়ে লগইন করার চেষ্টা করুন।
✅ ছোট বা সহজ পাসওয়ার্ড সেট করা যায় কিনা দেখুন (যেমন: 12345, qwerty)।
✅ Account Lockout Policy আছে কিনা পরীক্ষা করুন – অনেকবার ভুল পাসওয়ার্ড দিলে অ্যাকাউন্ট ব্লক হয় কিনা।
🔟 Brute Force Protection আছে কিনা দেখুন 🛑
✅ একাধিকবার ভুল পাসওয়ার্ড দিলে CAPTCHA আসে কিনা দেখুন।
✅ Rate Limiting (Too many requests block) কাজ করছে কিনা চেক করুন।
✅ লগইন রিকোয়েস্টে incremental delay আছে কিনা যাচাই করুন।
📌 ম্যানুয়াল সিকিউরিটি টেস্টিংয়ের জন্য দরকারি টুলস
🔹 Chrome DevTools (F12 → Network, Application, Console) – সিকিউরিটি ইস্যু চেক করুন।
🔹 Browser Page Source (Ctrl + U) – Hidden credentials বা API Key আছে কিনা দেখুন।
🔹 robots.txt & .env চেক করুন – সাইটের সিক্রেট ফাইল লিক হয়েছে কিনা দেখুন।
🔥 Bonus Tip: Bug Bounty Hunters-এর মতো ভাবুন! 🕵️♂️
ওয়েব অ্যাপের প্রতিটি এন্ট্রি পয়েন্ট খুঁজুন, সেখানেই সিকিউরিটি ফাঁক থাকতে পারে!
⏳ টেস্টিং সহজ করুন!
👉 Bug Matrix 🐞 – SQA Testing Tools Hub ফ্রি এক্সটেনশন
🔗 For Google Chrome Install Now : Bug Matrix 🐞 – SQA Testing Tools Hub - Chrome Web Store
🔗 For Mozilla Firefox Install Now : Bug Matrix🐞 SQA Tools – Get this Extension for 🦊 Firefox (en-US)
#SecurityTesting #ManualTesting #BugBounty #PenTesting #SQA #SecurityTesting #ManualTesting #BugBounty #PenTesting #SQA #CyberSecurity #EthicalHacking #WebSecurity #SQLInjection #XSS #BrokenAuthentication #AccessControl #CSRF #BruteForce #SecurityHeaders #BugHunting #QA #SoftwareTesting #Testing #WebTesting #InfoSec #VulnerabilityTesting #Hacking #DataProtection #DevSecOps #ApplicationSecurity #SecureCoding #EthicalHacker #OWASP #SecurityAwareness