Ways of Redirection!!!

မွတ္ခ်က္။       ။ဒီပိုစ့္သည္ mmhackforums.com မွ ကိုစနစ္ဖာေဂါ့ ေရးသားေသာပိုစ့္ျဖစ္ပါသည္...။
အဆင့္ျမင့္ေသာကြာလတီပိုစ့္ျဖစ္ေသာေၾကာင့္စာဖတ္သူတို႕ အၾကိဳးကိုရည္ရြယ္ျပီး တင္ေပးလိုက္ပါသည္။

ဖုိရမ္မွာ ညီအစ္ကုိေတြ ပုိစ္႔ေတြ ေရးျပီးတင္ၾကတာျမင္ေတာ႔ ကြ်န္ေတာ္လဲ နဲနေရးခ်င္စိတ္ေပါက္လာတယ္….ဒါနဲ႔ ဘာေရးရရင္ေကာင္းမလဲလုိ႔ စဥ္းစားလိုက္ေတာ႔ URL တစ္ခုကုိ ဘယ္လုိ redirection လုပ္ၾကသလဲဆုိတာေလးကုိ သြားစဥ္းစားမိတယ္ ။ URL redirection ကုိ ဘာအတြက္သုံးၾကသလဲ ၊ ဘယ္လုိအေျခအေနမ်ဳိးမွာ သုံးၾကသလဲ ဆုိရင္ ဆုိဒ္တစ္ခုကေန ေနာက္ထပ္ဆုိဒ္အသစ္တစ္ခုကုိ ေျပာင္းလဲဖြင္႔လွစ္တဲ႔ အခါမ်ဳိးမွာ(သုိ႔တည္းမဟုတ္) Attacker တစ္ေယာက္က victim ကုိမိမိဖန္တီးထားတဲ႔ လွည္႔ကြက္ေထာင္ေခ်ာက္ေနရာ တစ္ခုဆီကုိေရာက္ေစခ်င္တဲ႔အခါမ်ဳိးမွာ အမ်ားဆုံးအသုံးျပဳေလ႔ ရွိၾကပါတယ္ ။ ကဲပထမဆုံး ကြ်န္ေတာ္တုိ႔ Website တစ္ခုကေန အျခားတစ္ခုကုိ စျပီး Redirect လုပ္ၾကမယ္ဆုိရင္ URL redirect လုပ္ဖုိ႔ တခဏတာ ယာယီလား ၊ အျမဲတမ္းအတြက္လားဆုိတာကုိ စျပီး စဥ္းစားဖုိ႔လုိပါလိမ္႔မယ္ ။ ေနာက္တစ္ခ်က္က ဘယ္လုိ language မ်ဳိးကုိအသုံးျပဳျပီး URL redirect script ကုိတည္ေဆာက္မွာလဲ ။ ဒီေနရာမွာ ကြ်န္ေတာ္ ဥပမာ သုံးမ်ဳိးနဲ႔ တင္ျပသြားပါမယ္ …. ။

• PHP script ကုိအသုံးျပဳ၍တည္ေဆာက္ျခင္း ။
• Htaccess with mod_rewrite (or) mod_alias နည္းလမ္းျဖင္႔ တည္ေဆာက္ျခင္း ။
• Javascript ျဖင္႔ဖန္တီးျခင္း တုိ႔ပဲျဖစ္ပါတယ္ ။

ဥပမာေတြ ဘာေတြနဲ႔ တင္ျပမယ္ဆုိေတာ႔ ဘာေတြပါလိမ္႔….ရွဳပ္ေနမွာလားဆုိျပီး မထင္လုိက္ပါနဲ႔….လုံးဝမွားသြားပါလိမ္႔မယ္….စားေၾကာင္းေလး ႏွစ္ေၾကာင္းတည္းရယ္ပါ ။

• PHP script ကုိအသုံးျပဳျပီးတည္ေဆာက္ျခင္း

PHP Language မွ header() function ကုိအသုံးျပဳျပီး ယာယီအေနနဲ႔ redirect (သူ႔ရဲ႔ Status Code Definition က 302 ပါ ။ မိမိရွာေဖြတဲ႔ address ကမရွိေတာ႔ပါဘူး ၊ အျခားတစ္ေနရာသုိ႔ ေရႊ႔ေျပာင္းသြားပါျပီ လုိ႔ ဆုိလုိပါတယ္ ) လုပ္ဖုိ႔အတြက္ မိမိ redirect လုပ္လုိတဲ႔ URL address ကုိထည္႔သြင္းလုိက္ျခင္းပင္ျဖစ္ပါတယ္ …။ ဥပမာ-

<?php
header('Location: http://www.mmhackforums.com');
exit;
?>

အေပၚမွာေဖာ္ျပထားတဲ႔ code ေလးႏွစ္ေၾကာင္းေလာက္ကုိ မိမိရဲ႔ HTML format အေပၚမွာ သြားေရာက္ျဖည္႔စြက္လုိက္ျခင္းျဖင္႔ မိမိ ညႊန္လုိတဲ႔ စာမ်က္ႏွာ(URL address) ကုိေရာက္ရွိေစႏိူင္ပါတယ္ ။ ဒီေနရာမွာ နဲနဲေလး သတိျပဳရမွာက warning အေနနဲ႔ ….

Cannot modify header information - headers already sent by ...

ဆုိတဲ႔ စာေၾကာင္းမ်ား ေပၚလာခဲ႔လွ်င္ မိမိထည္႔သြင္းလုိက္တဲ႔ code ေတြကုိ HTML tag ေတြရဲ႔အေပၚဆုံးသုိ႔ေရႊ႔ေျပာင္းထည္႔သြင္းျခင္႔ျဖင္႔ အဆင္ေျပသြားပါလိမ္႔မယ္ ။ ကဲ….ဒါဆုိရင္အျမဲတမ္းေျပာင္းေရႊ႔သြားပါျပီ ဆုိတာကုိ ဘယ္လုိေရးမလဲ ။ code status ေလးတစ္ခုကုိ ထပ္ေပါင္းထည္႔လုိက္ယုံပါပဲ…..ယာယီ redirect လုပ္ဖုိ႔အတြက္ code ေတြေနရာမွာ အျမဲတမ္း redirection ပါဆုိတဲ႔ Status Code Definition ျဖစ္တဲ႔ 301 ဆုိတာေလးကုိ မွန္ကန္ေၾကာင္း အတည္ျပဳေပးလုိက္ယုံပါပဲ ။ ဥပမာ -

<?php
header('Location: http://www.mmhackforums.com', true, 301);
exit;
?>

• Htaccess with mod_rewrite (or) mod_alias နည္းလမ္းျဖင္႔ တည္ေဆာက္ျခင္း

ေနာက္တစ္နည္းက Apache Webserver မွာပါဝင္တဲ႔ htaccess file ကုိ အသုံးျပဳျပီး တည္ေဆာက္ျခင္းျဖစ္ပါတယ္ ။ htaccess file (hypertext access) ဆုိတာဟာ Apache Webserver ေတြအေပၚမွာ အလုပ္လုပ္ေနတဲ႔ file name ေတြ ၊ directory ေတြကုိ configure လုပ္ဖုိအတြက္ အေရးပါတဲ႔ ဖုိင္ေလးတစ္ခုပါ ။ htaccess ကုိအသုံးျပဳျပီး redirect ျပဳလုပ္ဖုိ႔အတြက္ Apache module တစ္ခုျဖစ္တဲ႔ mod_alias နဲ႔ သူ႔အတြက္ command တစ္ခုျဖစ္တဲ႔ Redirect ကုိတြဲဖက္အသုံးျပဳျခင္းအားျဖင္႔ ယာယီ redirect နဲ႔ အျမဲတမ္းအတြက္ redirect ျပဳလုပ္ျခင္းတုိ႔ကုိ ဖန္တီးႏူိင္ပါတယ္ ။ ဥပမာ- ယာယီ redirect အတြက္--

 Redirect /showoff.php http://www.mmhackforums.com/tools.php 

ေဖာ္ျပပါ code ကေလးကုိ htaccess file ထဲကုိ ကူးထည္႔ျပီး သိမ္းဆည္းလုိက္ျခင္းအားျဖင္႔

 http://www.mmhackforums.com/showoff.php 

ကေန

 http://www.mmhackforums.com/tools.php 

ဆုိတဲ႔လိပ္စာဆီသုိ႔ redirect လုပ္သြားပါလိမ္႔မယ္ ။ ကဲ…ဟုတ္ျပီ….ဒါဆုိရင္ အျမဲတမ္း redirect အတြက္က်ေတာ႔ေရာ ဘယ္လုိေရးမလဲ ? အေပၚမွာ status code definition ဆုိတာကုိ အနည္းငယ္ေျပာခဲ႔တယ္ေနာ္….ကြ်န္ေတာ္တုိ႔ လုပ္ခ်င္တာက အျမဲတမ္း redirect လုပ္ခ်င္တာ ၊ အျမဲတမ္း redirect ဆုိတာကုိ ေဖာ္ညႊန္းတာက code 301 ၊ ဒီေတာ႔ 301 ကုိ Redirect ဆုိတဲ႔ command ရဲ႔ေရွ႔မွာ ေခၚသုံးလုိက္မယ္ဆုိရင္ ကြ်န္ေတာ္တုိ႔ လုိခ်င္တဲ႔ အျမဲတမ္း redirect ကုိရျပီေပါ႔ ….။ ဥပမာ - အေနနဲ႔ ျပရလွ်င္..

Redirect 301 /showoff.php http://www.mmhackforums.com/tools.php

ေနာက္ထပ္ module တစ္ခုျဖစ္တဲ႔ mod_rewrite နဲ႔ ပတ္သတ္ျပီး နဲနဲေျပာၾကည္႔ပါမယ္ ။ mod_rewrite က mod_alias ထက္စာလွ်င္ ပုိျပီး powerful ျဖစ္ျပီးေတာ႔ ပုိရွဳပ္ေထြးတယ္လုိ႔ ဆုိႏူိင္ပါတယ္ ။ mod_rewrite ကုိဘယ္ေနရာေတြမွာ သုံးႏူိင္သလဲဆုိလွ်င္ domain အေဟာင္းကေန အသစ္ကုိ ေျပာင္းတဲ႔အခါမွာပဲျဖစ္ျဖစ္ www(world wide web) မဟုတ္တဲ႔ ေနရာတစ္ခုကေန www URL တစ္ခုဆီသုိ႔ redirect ျပဳလုပ္လုိတဲ႔ အခါမွာပဲ ျဖစ္ျဖစ္ အသုံးျပဳၾကပါတယ္။ ဆုိလုိတာက ကြ်န္ေတာ္တုိ႔က

 http://mmhackforums.com 

ကုိဝင္လုိက္ေပမဲ႔လည္း

 http://www.mmhackforums.com 

ဆီကုိပဲေရာက္ရွိသြားေအာင္ ျပဳလုပ္လုိက္ျခင္းပဲျဖစ္ပါတယ္ ။ ေနာက္တစ္ခုက hotlink protect images (သုိ႔မဟုတ္) redirect based on language အစရွိတဲ႔ေနရာေတြမွာလဲ အသုံးျပဳႏူိင္ပါေသးတယ္ ။ hotlink protect images ဆုိတာနဲ႔ ပတ္သတ္လုိ႔ မိမိက ဘယ္လုိ domain ေတြကုိ ခြင္႔ျပဳမွာလဲ / ပိတ္ပင္မွာလဲ ၊ ဘယ္လုိ Referrer ေတြကုိ ခြင္႔ျပဳမွာလဲ / ပိတ္ပင္မွာလဲ ၊ ပိတ္ပင္တဲ႔ image ေတြကေရာ ဘယ္လုိ file type ( eg: jpg,png,gif,bmp,jpeg) အမ်ဳိးအစားေတြလဲ ဆုိတာေတြကုိပါ သတ္မွတ္ေပးႏူိင္ပါေသးတယ္ ။ ဒါဆုိရင္ redirect based on language ဆုိတာကေရာ ဘာလဲ ….သူကေတာ႔ လက္ရွိ မိမိ web page မွာ default အေနနဲ႔ ေဖာ္ျပေနတာက English ျဖစ္ေနျပီး chinese ဘာသာကုိေျပာင္းလဲေဖာ္ျပလုိတယ္ဆုိပါက မိမိ ေျပာင္းလုိတဲ႔ articles ကုိ ေရႊးခ်ယ္လုိက္တာနဲ႔ chinese ဘာသာကုိ ေဖာ္ျပေပးႏူိင္ေအာင္ ဖန္တီးေပးႏူိင္ပါတယ္ ။ ကြ်န္ေတာ္ Old domain တစ္ခုကေန New domain တစ္ခုဆီသုိ႔ redirect ျပဳလုပ္ပုံကုိ ဥပမာ - အေနနဲ႔ ေဖာ္ျပေပးပါမယ္…

RewriteEngine on
RewriteRule ^(.*)$ http://www.mmhackforums.com/$1 [R=301,L]

ဒီေနရာမွာ ကြ်န္ေတာ္တုိ႔က domain အေဟာင္းျဖစ္တဲ႔

 http://www.mmcyberdevils.com/showoff.php 

ကုိဝင္ၾကည္႔လုိက္ေပမဲ႔ တစ္ကယ္တမ္း ကြ်န္ေတာ္တုိ႔ ေရာက္သြားမွာက

 http://www.mmhackforums.com/showoff.php 

ပါ ။
status code ကုိ 301 နဲ႔ပါ ထပ္မံေဖာ္ျပေပးလုိက္တဲ႔ အတြက္ေၾကာင္႔ user က domain အေဟာင္းကုိ ဝင္လုိက္ေပမဲ႔လည္း အျမဲတမ္း domain အသစ္ဆီကုိပဲ redirect လုပ္ေနေတာ႔မွာပါ ။ L ဆုိတာကေတာ႔ ေနာက္ဆုံးတစ္ခုကုိ အတည္ျပဳေပးလုိက္တာပါ ။ ေနာက္ထပ္ က်န္ရွိေနတာတဲ႔ အပုိင္းျဖစ္တဲ႔ www မဟုတ္တဲ႔ domain ကေန www domain ဆီကုိ ဘယ္လုိ Redirect လုပ္ၾကမလဲဆုိတာကုိ ေဖာ္ျပပါမယ္ ။
ကြ်န္ေတာ္တုိ႔

 http://mmhackforums.com 

ကေန

 http://www.mmhackforums.com 

ဆီသုိ႔
ဘယ္လုိ redirect လုပ္မလဲဆုိတာကုိ ဥပမာ အေနနဲ႔ ေဖာ္ျပပါမယ္ ။

RewriteEngine on
RewriteCond %{HTTP_HOST} ^mmhackforums.com [NC]
RewriteRule ^(.*)$ http://www.mmhackforums.com/$1 [R=301,L]

ဒီ code ေလးေတြကုိၾကည္႔ျခင္းအားျဖင္႔ ဆုိလုိရင္းကုိ သေဘာေပါက္ေလာက္မည္ ဟု ယူဆပါတယ္ ။

• Javascript ျဖင္႔ဖန္တီးျခင္း

ကဲ…ေနာက္ဆုံး နည္းတစ္ခုျဖစ္တဲ႔ javascript ကုိအသုံးျပဳျပီး redirect ဘယ္လုိျပဳလုပ္မလဲ ဆုိတာကုိ ေဖာ္ျပေပပါမယ္ ။

<script type="text/javascript">
window.location = "http://www.mmhackforums.com";
</script>

အထက္မွာ ေဖာ္ျပထားတဲ႔ code အခ်ဳိ႔ကုိ HTML ရဲ႔ <head> </head> tag အတြင္းမွာ ထည္႔သြင္းေဖာ္ျပလုိက္ျခင္းအားျဖင္႔ မိမိ redirect ျပဳလုပ္လုိတဲ႔ URL ဆီသုိ႔ ေခၚေဆာင္သြားပါလိမ္႔မယ္ ။ ဒီေနရာ HTML format အတြင္းမွာ ကြ်န္ေတာ္တုိ႔ အသုံးျပဳလုိက္တဲ႔ script အမ်ဳိးအစားက javascript ျဖစ္ပါတယ္ဆုိျပီး အရင္ဆုံး ေၾကျငာလုိက္ပါတယ္ ၊ အဲဒီေနာက္ window.location ဆုိတဲ႔ command ေလးကုိ အသုံးျပဳျပီး redirect လုပ္ခ်င္တဲ႔ domain ေလးကုိ ေဖာ္ေျပးေပးလုိက္ျခင္းပဲျဖစ္ပါတယ္ ။ ေကာင္းျပီ ဒါဆုိရင္ အဲဒီ domain တစ္ခုအတြင္းမွာပဲ တည္ရွိေနတဲ႔ အျခားေသာ URLs မ်ားဆီသုိ႔ေရာက္ေအာင္ေရာ ဖန္တီးလုိ႔ မရဘူးလား ၊ ရပါတယ္ ။ ဥပမာ - ၾကည္႔ပါ….

<script type="text/javascript">
window.location.replace = ("../forum/index.php");
</script>

ဒီနည္းေတြကုိ သုံးျပီး webmaster ေတြက Attacker(Hacker) ေတြကုိအာရုဏ္ေနာက္ေအာင္ ျပဳလုပ္တတ္ၾကပါတယ္ ၊ ကြ်န္ေတာ္တုိ႔ ေတာ္ေတာ္မ်ားမ်ား ၾကဳံဖူးၾကမွာပါ ။ website တစ္ခုရဲ႔ admin user & password ကုိရျပီး admin page ရွာမေတြ႔ဘူး…ဆိုျပီး ခဏခဏ ျဖစ္ၾကပါတယ္ ။ Hacker တစ္ေယာက္က joomla ဆုိဒ္တစ္ခုရဲ႔ admin user & password ရသြားျပီ ဆုိပါစုိ႔….ဒါဆုိရင္ joomla ရဲ႔ admin login page directory က

 http://www.joomla.com/administrator 

ဆုိတာ အားလုံးသိၾကပါတယ္ ။ ဒါေပသိ အဲဒီ administrator URL ကုိ သြားလုိက္တုိင္း

 http://www.joomla.com 

ကုိပဲ ျပန္ ျပန္ေရာက္သြားတတ္တာကုိ သတိျပဳမိၾကပါလိမ္႔မယ္ ၊ ဒါဟာ webmaster က သူ႔ရဲ႔ admin loing page ကုိ attacker အလြယ္တစ္ကူ ရွာမေတြ႔ေအာင္ဖြက္ထားလုိက္တာပါပဲ ။ ကဲ…ဒီေလာက္ဆုိရင္ ေတာ္ေတာ္ေလး နားလည္သြားေလာက္ျပီ( မသိေသေသာသူမ်ားကုိသာ ရည္ရြယ္သည္။) လုိ႔ ယူဆပါတယ္ ။ ကြ်န္ေတာ္ ဖတ္မိတာေလးေတြကုိ စုေပါင္းေရးသားထားျခင္းျဖစ္ပါတယ္ ၊ ကြန္နက္ရွင္ အခက္အခဲေၾကာင္႔ ပုံႏွင္႔တကြ မေဖာ္ျပေပးႏူိင္တာကုိ နားလည္ေပးၾကေစလုိပါတယ္ ။

Written By
$n1ff3rg0d(mmhackforums.com)