Home » Broken Access Control কী? (বিস্তারিত ব্যাখ্যা)
Web Application Security

Broken Access Control কী? (বিস্তারিত ব্যাখ্যা)

by ITAB Content Team
by ITAB Content Team

Broken Access Control হলো ওয়েব অ্যাপ্লিকেশন সিকিউরিটির একটি গুরুতর দুর্বলতা, যেখানে সিস্টেম ব্যবহারকারীর পরিচয় ও ভূমিকা (role) অনুযায়ী সঠিক অনুমতি যাচাই করতে ব্যর্থ হয়। সাধারণভাবে একটি ওয়েব অ্যাপ্লিকেশনে প্রতিটি ব্যবহারকারীর নির্দিষ্ট সীমাবদ্ধতা থাকে কে কোন ডেটা দেখবে, কোন ফিচার ব্যবহার করবে বা কোন অপারেশন চালাতে পারবে। যখন এই নিয়ন্ত্রণ ব্যবস্থা দুর্বল বা ভুলভাবে বাস্তবায়ন করা হয়, তখনই Broken Access Control সমস্যা দেখা দেয়।

এই দুর্বলতার ফলে একজন সাধারণ ব্যবহারকারী অননুমোদিত তথ্য দেখতে পারে, অন্যের ডেটা পরিবর্তন করতে পারে বা এমনকি প্রশাসনিক (admin) ক্ষমতা অর্জন করতে পারে। অনেক ক্ষেত্রে ব্যবহারকারী নিজেই বুঝতে পারে না যে সে কোনো নিয়ম ভাঙছে। শুধুমাত্র URL পরিবর্তন, বাটন লুকানো থাকা বা ক্লায়েন্ট সাইড চেকের ওপর নির্ভর করার কারণেই এই সমস্যা তৈরি হয়। Authentication দুর্বল হলে access control সহজে ভেঙে যায়।

কীভাবে Broken Access Control তৈরি হয়

Broken Access Control সাধারণত তখনই ঘটে যখন অ্যাপ্লিকেশন শুধুমাত্র ফ্রন্টএন্ডের উপর নির্ভর করে অনুমতি নিয়ন্ত্রণ করে। উদাহরণস্বরূপ, কোনো বাটন বা লিংক সাধারণ ব্যবহারকারীর জন্য লুকানো থাকলেও, যদি সার্ভার-সাইডে যথাযথ যাচাই না থাকে, তাহলে সেই URL সরাসরি অ্যাক্সেস করলেই সংবেদনশীল তথ্য পাওয়া যায়। এছাড়া role-based access control সঠিকভাবে বাস্তবায়ন না করা, API endpoint সুরক্ষিত না রাখা এবং object-level permission যাচাই না করাও এই সমস্যার বড় কারণ। অনেক সময় এটি insecure system architecture এর ফল।

Attack Scenario (আরও বিস্তারিতভাবে)

ধরা যাক, একটি বিশ্ববিদ্যালয়ের ওয়েব পোর্টালে তিন ধরনের ব্যবহারকারী আছে: Student, Teacher এবং Admin। একজন শিক্ষার্থী সাধারণত নিজের প্রোফাইল, কোর্স তথ্য এবং নিজের ফলাফল দেখার অনুমতি পায়। কিন্তু অ্যাপ্লিকেশনটি যদি শুধুমাত্র লগইন চেক করে এবং ব্যবহারকারীর role যাচাই না করে, তাহলে একজন শিক্ষার্থী ব্রাউজারের address bar এ সরাসরি ‘website.com/admin/results‘ বা ‘website.com/admin/users‘ লিখে ফেলতে পারে।

যদি সার্ভার সেই অনুরোধ গ্রহণ করে এবং কোনো অতিরিক্ত অনুমতি যাচাই না করে, তাহলে শিক্ষার্থী অন্য শিক্ষার্থীদের ফলাফল, ব্যক্তিগত তথ্য কিংবা অ্যাডমিন প্যানেলের গোপন ডেটা দেখতে পাবে। আরও ভয়ংকর পরিস্থিতিতে, সে চাইলে ফলাফল পরিবর্তন করা, নতুন ব্যবহারকারী তৈরি করা বা গুরুত্বপূর্ণ তথ্য মুছে ফেলার মতো কাজও করতে পারে।

এই ধরনের আক্রমণে হ্যাকারকে কোনো জটিল টুল ব্যবহার করতে হয় না। শুধু একটু পর্যবেক্ষণ, URL guessing বা ব্রাউজারের developer tools ব্যবহার করলেই তারা এই দুর্বলতাকে কাজে লাগাতে পারে। এজন্য Broken Access Control কে OWASP Top 10 এর সবচেয়ে বেশি পাওয়া এবং সবচেয়ে বিপজ্জনক ঝুঁকিগুলোর একটি হিসেবে ধরা হয়।

কেন Broken Access Control এতটা ভয়ংকর

এই দুর্বলতার সবচেয়ে বড় ঝুঁকি হলো এটি সরাসরি ডেটা লিক, ডেটা ম্যানিপুলেশন এবং সম্পূর্ণ সিস্টেম নিয়ন্ত্রণের পথ খুলে দেয়। সরকারি পোর্টাল, শিক্ষা প্রতিষ্ঠান, ব্যাংকিং সিস্টেম বা ই-লার্নিং প্ল্যাটফর্মে যদি এই সমস্যা থাকে, তাহলে সংবেদনশীল তথ্য অননুমোদিত ব্যক্তির হাতে চলে যেতে পারে। এর ফলে প্রতিষ্ঠানের সুনাম নষ্ট হয়, আইনি জটিলতা তৈরি হয় এবং ব্যবহারকারীর আস্থা মারাত্মকভাবে ক্ষতিগ্রস্ত হয়। ভুল role configuration বড় ধরনের access vulnerability তৈরি করে।

সাধারণ জিজ্ঞাসা / FAQ (Frequently Asked Questions)

1. Broken Access Control কী?

Broken Access Control হলো একটি নিরাপত্তা ত্রুটি যেখানে ব্যবহারকারী অনুমোদন ছাড়াই রিসোর্স বা ফাংশনে অ্যাক্সেস পেতে পারে। এতে আক্রমণকারী সিস্টেমের নিয়ন্ত্রণ হারাতে পারে।

2.কেন Broken Access Control গুরুত্বপূর্ণ?

যদি অ্যাক্সেস কন্ট্রোল ভেঙে যায়, অননুমোদিত ব্যবহারকারী সংবেদনশীল ডেটা দেখা, পরিবর্তন বা মুছে ফেলার মতো কাজ করতে পারে।

3. সাধারণ উদাহরণ কী ?

  • URL বা API ম্যানিপুলেশন করে অন্য ব্যবহারকারীর ডেটা দেখা
  • অ্যাডমিন ফাংশন অননুমোদিতভাবে ব্যবহার করা
  • ডেটাবেস রেকর্ড সরাসরি অ্যাক্সেস করা

4. Broken Access Control এবং Authentication এর পার্থক্য কী?

  • Authentication: ব্যবহারকারীর পরিচয় যাচাই
  • Access Control: যাচাই করা ব্যবহারকারী কোন রিসোর্সে কি করতে পারবে

5. Broken Access Control কীভাবে শনাক্ত করা যায়?

  • URL বা API ফাংশন টেস্ট করে
  • ভিন্ন ব্যবহারকারীর প্রিভিলেজ ব্যবহার করে চেষ্টা করা
  • পেন‑টেস্টিং এবং কোড রিভিউ

6. কোন ধরনের সিস্টেম বেশি ঝুঁকিপূর্ণ?

  • ওয়েব অ্যাপ্লিকেশন এবং API
  • ক্লাউড অ্যাপ্লিকেশন
  • ব্যাকএন্ড সার্ভিস যেখানে রোল বা প্রিভিলেজ সঠিকভাবে যাচাই হয় না

7. প্রতিরোধের জন্য কি করা উচিত?

  • Role-based Access Control (RBAC) বা Attribute-based Access Control (ABAC) ব্যবহার করা
  • সঠিকভাবে সার্ভার সাইডে অনুমোদন যাচাই করা
  • প্রিভিলেজ এস্কেলেশন টেস্ট করা

8. আক্রমণকারী Broken Access Control দিয়ে কি করতে পারে?

  • ডেটা চুরি বা পরিবর্তন
  • প্রশাসনিক ফাংশন ব্যবহার
  • অ্যাপ্লিকেশন বা সার্ভার কনফিগারেশন পরিবর্তন

9. Horizontal vs Vertical Broken Access Control পার্থক্য কী?

  • Horizontal: সমমানের ব্যবহারকারীর ডেটা বা ফাংশনে অ্যাক্সেস
  • Vertical: নিম্ন প্রিভিলেজ ব্যবহারকারী উচ্চ প্রিভিলেজের ফাংশন ব্যবহার

10. কোন টুল দিয়ে Broken Access Control পরীক্ষা করা যায়?

  • Burp Suite, OWASP ZAP
  • Postman (API টেস্টিং)
  • Manual penetration testing

11. লগিং এবং মনিটরিং-এর ভূমিকা কী?

লগিং আক্রমণের চেষ্টা নোট করে, মনিটরিং এলার্ট তৈরি করে এবং ত্রুটি সময়মতো শনাক্ত করতে সাহায্য করে।

12. নিরাপত্তার বেস্ট প্র্যাকটিস কী?

  • সার্ভার‑সাইডে সব অ্যাক্সেস যাচাই করা
  • প্রিভিলেজ এস্কেলেশন নিয়মিত পরীক্ষা করা
  • ইউজার রোল এবং অনুমোদন নীতিমালা স্পষ্টভাবে ডিজাইন করা


Was this article helpful?
Yes0No0

ITAB Content Team is a dedicated group of writers, researchers, and digital professionals behind ITAB Blog. The team creates informative and practical content on topics like Cybersecurity, Marketing, Web, Online tools, Digital guides and Modern technology trends. They focus on explaining complex topics in a clear and simple way, so students, business owners, and digital learners can easily understand and apply what they learn. Every article is carefully researched and written with real-world examples, step-by-step guidance, and actionable tips. The main goal of the ITAB Content Team is to provide trustworthy, easy-to-follow digital guides that help readers improve their skills, grow their online presence, and stay updated in the fast-changing digital world.

You may also like

XSS Attack কী? (বিস্তারিত ব্যাখ্যা)

Server Side Request Forgery (SSRF) কী? (বিস্তারিত ব্যাখ্যা)

Security Logging and Monitoring Failures কী? (বিস্তারিত ব্যাখ্যা)

Software and Data Integrity Failures কী? (বিস্তারিত ব্যাখ্যা)

Identification and Authentication Failures কী? (বিস্তারিত ব্যাখ্যা)

Vulnerable and Outdated Components কী? (বিস্তারিত ব্যাখ্যা)

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

@2026 - All Right Reserved. Designed and Developed by IT Agency Bangladesh