diff --git a/src/main/resources/i18n/messages_bn_IN.properties b/src/main/resources/i18n/messages_bn_IN.properties new file mode 100644 index 00000000..a7c515e9 --- /dev/null +++ b/src/main/resources/i18n/messages_bn_IN.properties @@ -0,0 +1,153 @@ +EMPTY_LABEL= + +# Exception Code Labels +INVALID_END_POINT=নিম্নলিখিত {0} end point উপলব্ধ নেই। অনুগ্রহ করে allEndPoint কল থেকে endpoint নাম যাচাই করে পুনরায় চেষ্টা করুন। +INVALID_LEVEL=নিম্নলিখিত {0} level একটি বৈধ স্তর মান নয়। অনুগ্রহ করে allEndPoint কল থেকে supported level ও endpoint যাচাই করে পুনরায় চেষ্টা করুন। +UNAVAILABLE_LEVEL=নিম্নলিখিত {0} level {1} endpoint-এ উপলব্ধ নয়। অনুগ্রহ করে allEndPoint কল থেকে supported level ও endpoint যাচাই করুন এবং পুনরায় চেষ্টা করুন। +INVALID_ACCESS=নিম্নলিখিত {0} পদ্ধতি অ্যাক্সেসযোগ্য নয়। কারণ হতে পারে অপ্রয়োজনীয় দৃশ্যমানতা বা ভুল পদ্ধতি সংজ্ঞায়ন। অনুগ্রহ করে লগগুলি যাচাই করুন। +INVALID_AGRUMENTS=নিম্নলিখিত {0} পদ্ধতিতে সঠিক আর্গুমেন্ট পাস হয়নি। অনুগ্রহ করে লগগুলি যাচাই করুন। +SYSTEM_ERROR=সিস্টেম ত্রুটি ঘটেছে। অনুগ্রহ করে লগগুলি যাচাই করুন। + +# XSS based Injections +XSS_VULNERABILITY=Cross-Site Scripting (XSS) আক্রমণ এক ধরনের ইনজেকশন, যেখানে ক্ষতিকর স্ক্রিপ্ট নিরীহ ও বিশ্বস্ত ওয়েবসাইটে প্রবেশ করানো হয়। XSS আক্রমণ ঘটে যখন একটি আক্রমণকারী ওয়েব অ্যাপ্লিকেশন ব্যবহার করে ক্ষতিকর কোড পাঠায়, সাধারণত এটি ব্রাউজার সাইড স্ক্রিপ্ট হিসেবে, অন্য ব্যবহারকারীর কাছে। এই ধরনের দুর্বলতা অনেক ব্যাপক এবং ঘটে যেখানে ওয়েব অ্যাপ্লিকেশন ব্যবহারকারীর ইনপুটকে যাচাই বা এনকোড না করে আউটপুটে যুক্ত করে।

আক্রমণকারী XSS ব্যবহার করে একটি ক্ষতিকর স্ক্রিপ্ট অজ্ঞাত ব্যবহারকারীর কাছে পাঠাতে পারে। ব্যবহারকারীর ব্রাউজার বুঝতে পারে না এটি অবিশ্বাসযোগ্য এবং স্ক্রিপ্টটিকে এক্সিকিউট করে। কারণ এটি মনে করে স্ক্রিপ্টটি বিশ্বাসযোগ্য উৎস থেকে এসেছে, তাই ক্ষতিকর স্ক্রিপ্ট ব্রাউজারে থাকা কুকি, সেশন টোকেন বা অন্যান্য সংবেদনশীল তথ্য ব্যবহার করতে পারে। এই স্ক্রিপ্ট HTML পৃষ্ঠার বিষয়বস্তুও পরিবর্তন করতে সক্ষম।

XSS সম্পর্কে আরও জানতে:
  1. Owasp XSS
  2. Google Application Security
+ +#### AttackVector description +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG="comment" কুয়েরি প্যারামিটার মান সরাসরি "div" ট্যাগে যুক্ত হয়। +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG_REPLACING_IMG_AND_INPUT_TAG="comment" কুয়েরি প্যারামিটার মান " এই দুর্বলতা Image ট্যাগে XSS আক্রমণের সাথে সম্পর্কিত। যদি .. +#### Attack Vector Description +XSS_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটার সরাসরি Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। +XSS_QUOTES_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটারগুলিতে উদ্ধৃতি যুক্ত করে সরাসরি Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটারগুলিতে HTML escaping করে তারপর সরাসরি Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_AND_REMOVAL_OF_VALUES_WITH_PARENTHESIS_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটারগুলিতে HTML escaping এবং বন্ধনীযুক্ত মান অপসারণ করার পরে সরাসরি Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। +XSS_QUOTES_AND_WITH_HTML_ESCAPE_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটারগুলিতে HTML escaping করে এবং উদ্ধৃতির মধ্যে রেখে Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। +XSS_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG_BUT_NULL_BYTE_VULNERABLE=URL প্যারামিটারগুলিতে HTML escaping ও whitelist এ যাচাই করার পর Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়, তবে filename validator Null Byte Injection এ দুর্বল। +XSS_QUOTES_AND_WITH_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL প্যারামিটারগুলিতে HTML escaping ও whitelist যাচাইয়ের পর উদ্ধৃতির মধ্যে রেখে Image ট্যাগের src অ্যাট্রিবিউটে যুক্ত হয়। + +## Html Tag Injection +XSS_HTML_TAG_INJECTION=HTML ট্যাগ ভিত্তিক XSS আক্রমণ। +XSS_DIRECT_INPUT_DIV_TAG=HTML ট্যাগ সরাসরি div ট্যাগে ইনজেক্ট করা হয়। + +### Attack vectors +XSS_DIRECT_INPUT_DIV_TAG=URL প্যারামিটার সরাসরি div ট্যাগে যুক্ত হয়। +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_AND_IMG_TAG=যদি script/image এবং anchor ট্যাগ না থাকে তবে URL প্যারামিটার সরাসরি div ট্যাগে যুক্ত হয়। +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_IMG_TAG_AND_ALERT_KEYWORD=যদি script, image, anchor ট্যাগ ও javascript এবং alert কীওয়ার্ড না থাকে তবে URL প্যারামিটার সরাসরি div ট্যাগে যুক্ত হয়। + +# URL Redirection +## Location Header Injection +OPEN_REDIRECTION_VULNERABILITY_3XX_BASED=Open redirection দুর্বলতা ঘটে যখন অ্যাপ্লিকেশন নিরাপদ নয় এমনভাবে রিডাইরেকশনের গন্তব্যে ব্যবহারকারীর নিয়ন্ত্রিত ডেটা রাখে।<br/>একজন আক্রমণকারী একটি অরিজিনাল অ্যাপ্লিকেশনের মধ্যে এমন একটি URL তৈরী করতে পারে যা যেকোনো বহিরাগত ডোমেইনে রিডাইরেক্ট করে। এই পদ্ধতিটি অ্যাপ্লিকেশনের ব্যবহারকারীদের লক্ষ করে ফিশিং আক্রমণ সহজতর করতে পারে।<br/>ব Valid SSL সার্টিফিকেটসহ একটি স্বীকৃত ডোমেইনে URL ব্যবহার করার ক্ষমতা এই ফিশিং আক্রমণের বিশ্বাসযোগ্যতা বৃদ্ধি করে কারণ অনেক ব্যবহারকারী এমন রিডাইরেকশন লক্ষ্য করলেই না।<br/><br/><a href="https://www.w3.org/Protocols/rfc2616/rfc2616.html">RFC 2616 - "Hypertext Transfer Protocol - HTTP/1.1" target="_blank"</a> বিভিন্ন 3xx স্ট্যাটাস কোড সংজ্ঞায়িত করে যা ব্রাউজারকে নির্দিষ্ট গন্তব্যে রিডাইরেক্ট করে এবং এই ইম্প্লিমেন্টেশন 3xx কোডের উপর ভিত্তি করে।<br/><br/>গুরুত্বপূর্ণ লিঙ্কসমূহ:<ol><li><a href="http://projects.webappsec.org/w/page/13246981/URL%20Redirector%20Abuse" target="_blank">WASC-38</a></li><li><a href="https://cwe.mitre.org/data/definitions/601.html" target="_blank">CWE-601</a></li><li><a href="https://portswigger.net/kb/issues/00500100_open-redirection-reflected" target="_blank">Port Swigger-এর ভঙ্গুরতা ডকুমেন্টেশন</a></li><li><a href="https://en.wikipedia.org/wiki/URL_redirection" target="_blank">URL রিডাইরেকশনের উদ্দেশ্য ব্যাখ্যা করা উইকি লিঙ্ক</a></li><li><a href="https://github.com/payloadbox/open-redirect-payload-list" target="_blank">Open Redirection পে-লোড তালিকা</a></li><li><a href="https://appsec-labs.com/portal/case-study-open-redirect/" target="_blank">ডোমেইন প্রিফিক্স যুক্ত করার বিষয়</a></li></ol>\ +কিছু মিথ্যা প্রচলিত ধারণাঃ <a href="https://security.stackexchange.com/questions/59517/are-url-shorteners-vulnerable-due-to-open-redirects" target="_blank">URL শর্টনার গুলো open redirect এর জন্য কতটা ঝুঁকিপূর্ণ</a><br/> +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER="returnTo" কুয়েরি প্যারামিটারটির মান সরাসরি "Location" হেডারে যোগ করা হয়। +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_OR_DOMAIN_IS_SAME="returnTo" কুয়েরি প্যারামিটারটির মান যদি "http", "www", "https" দিয়ে শুরু না হয় বা অ্যাপ্লিকেশনের ডোমেইন একই হয় তবে সরাসরি "Location" হেডারে যোগ করা হয়। +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_//_OR_DOMAIN_IS_SAME="returnTo" কুয়েরি প্যারামিটারটির মান যদি "http", "www", "https", "//" দিয়ে শুরু না হয় বা অ্যাপ্লিকেশনের ডোমেইন একই হয় তবে সরাসরি "Location" হেডারে যোগ করা হয়। +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_WWW_HTTPS_//_NULL_BYTE_OR_DOMAIN_IS_SAME="returnTo" কুয়েরি প্যারামিটারটির মান যদি "http", "www", "https", "//" এবং Null Byte দিয়ে শুরু না হয় বা অ্যাপ্লিকেশনের ডোমেইন একই হয় তবে সরাসরি "Location" হেডারে যোগ করা হয়। +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_//_WWW_%_OR_DOMAIN_IS_SAME="returnTo" কুয়েরি প্যারামিটারটির মান যদি "http", "www", "https", "//" এবং ASCII 33 এর নিচের ক্যার্যাক্টার না থাকে অথবা অ্যাপ্লিকেশনের ডোমেইন একই হয় তবে সরাসরি "Location" হেডারে যোগ করা হয়। +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADDED_TO_LOCATION_HEADER_BY_ADDING_DOMAIN_AS_PREFIX="returnTo" কুয়েরি প্যারামিটারটির মান অ্যাপ্লিকেশনের ডোমেইন প্রিফিক্স যোগ করে "Location" হেডারে যুক্ত করা হয়। + +## Meta Tag based URL Redirection +OPEN_REDIRECTION_VULNERABILITY_META_TAG_BASED=Open redirection দুর্বলতা ঘটেযখন অ্যাপ্লিকেশন নিরাপদ নয় এমনভাবে ব্যবহারকারীর নিয়ন্ত্রণাধীন ডেটা রিডাইরেকশনের লক্ষ্যস্থল এ সংযুক্ত করে। <br/>একজন আক্রমণকারী এমন একটি URL তৈরি করতে পারে অ্যাপ্লিকেশন এর মধ্যে যা যেকোনো বহিরাগত ডোমেইনে রিডাইরেকশন করে। এই আচরণ ব্যবহারকারীদের বিরুদ্ধে ফিশিং আক্রমণ চালাতে ব্যবহার করা যেতে পারে।<br/>একটি সঠিক অ্যাপ্লিকেশন URL এবং বৈধ SSL সার্টিফিকেট থাকার কারণে, অনেক ব্যবহারকারী এই রিডাইরেকশন লক্ষ করতে পারে না। <br/><br/>একটি HTML মেটা এলিমেন্ট যা নির্দিষ্ট করে কত সেকেন্ডের মধ্যে ব্রাউজার পেজ রিফ্রেশ করবে। বিকল্প URI প্রদান করলে এটি টার্মিনাল URL রিডাইরেক্টর হিসেবে ব্যবহার করা যেতে পারে। <br/>উদাহরণস্বরূপ, নিচের উদাহরণে ব্রাউজার ৫ সেকেন্ড পর example.com এ রিডাইরেক্ট হবে: <br/> <meta http-equiv="refresh" content="5;url=http://example.com"> <br/><br/>গুরুত্বপূর্ণ লিঙ্ক গুলোঃ <ol> <li> <a href="http://projects.webappsec.org/w/page/13246981/URL%20Redirector%20Abuse" target="_blank">WASC-38</a> <li> <a href="https://cwe.mitre.org/data/definitions/601.html" target="_blank">CWE-601</a> <li> <a href="https://portswigger.net/kb/issues/00500100_open-redirection-reflected" target="_blank">Port Swigger's vulnerability documentation</a> <li> <a href="https://en.wikipedia.org/wiki/URL_redirection" target="_blank">URL রিডাইরেকশনের উদ্দেশ্য ব্যাখ্যা</a> <li> <a href="https://github.com/payloadbox/open-redirect-payload-list" target="_blank">Open Redirection payload list</a> <li> <a href="https://appsec-labs.com/portal/case-study-open-redirect/" target="_blank">ডোমেইন প্রিফিক্স কেস স্টাডি</a> </ol> কিছু ভুল ধারণা: <a href="https://security.stackexchange.com/questions/59517/are-url-shorteners-vulnerable-due-to-open-redirects" target="_blank">URL সংক্ষিপ্তকারীরা open redirect এর কারণে কতটা ঝুঁকির মধ্যে</a> <br/> +URL_REDIRECTION_META_TAG_BASED_INJECTION=মেটা ট্যাগ ভিত্তিক URL রিডাইরেকশন। +URL_REDIRECTION_URL_PARAMETER_INJECTION_INTO_META_TAG=URL প্যারামিটার সরাসরি মেটা ট্যাগে যুক্ত। + +# UNRESTRICTED_FILE_UPLOAD_VULNERABILITY +UNRESTRICTED_FILE_UPLOAD_VULNERABILITY=আপলোডকৃত ফাইলগুলি অ্যাপ্লিকেশনের জন্য গুরুত্বপূর্ণ ঝুঁকি। অনেক আক্রমণের প্রথম ধাপ হল সিস্টেমে কিছু কোড পৌঁছে দেওয়া। তারপর আক্রমণ কোডটি চালানোর উপায় খোঁজা হয়।<br/>অনিয়ন্ত্রিত ফাইল আপলোডের পরিণতি বিভিন্ন রকম হতে পারে, এতে রয়েছে সম্পূর্ণ সিস্টেম নিয়ন্ত্রণ, ফাইল সিস্টেম বা ডাটাবেজ অতিরিক্ত লোড, ব্যাকএন্ড সিস্টেমে আক্রমণ, ক্লায়েন্ট সাইড আক্রমণ, বা সাধারণ ডিফেসমেন্ট। এটি নির্ভর করে অ্যাপ্লিকেশন আপলোডকৃত ফাইলের সাথে কী করে এবং কোথায় এটি সংরক্ষণ করে।<br/><br/>গুরুত্বপূর্ণ লিঙ্কগুলি:<br/><ol> <li> <a href="https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload" target="_blank">Owasp Wiki Link</a> <li> <a href="https://www.youtube.com/watch?v=CmF9sEyKZNo" target="_blank">Ebrahim Hegazy talk on Unrestricted File Uploads</a> <li> <a href="https://www.sans.org/blog/8-basic-rules-to-implement-secure-file-uploads/" target="_blank">Sans rules to implement secure file uploads</a> </ol> +#### Attack Vector Description +UNRESTRICTED_FILE_UPLOAD_UNCONTROLLED_RESOURCE_CONSUMPTION=সর্বোচ্চ আপলোডকৃত ফাইলের আকার সীমিত নয়। +UNRESTRICTED_FILE_UPLOAD_NO_VALIDATION_FILE_NAME=আপলোডকৃত ফাইলের নামের উপর কোনও যাচাইকরণ নেই। +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_FILE_EXTENSION=.html এক্সটেনশন ব্যতীত সব ফাইল এক্সটেনশন অনুমোদিত। +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION=.html এবং .htm এক্সটেনশন ব্যতীত সব ফাইল এক্সটেনশন অনুমোদিত। +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION_CASE_INSENSITIVE=কেস ইনসেনসিটিভ .html এবং .htm এক্সটেনশন ব্যতীত সব ফাইল এক্সটেনশন অনুমোদিত। +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_CONTAINS_.PNG_OR_.JPEG_CASE_INSENSITIVE=শুধুমাত্র সেই ফাইলের নাম অনুমোদিত যেটাতে কেস ইনসেনসিটিভ .jpeg বা .png থাকে। +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE_AND_FILE_NAMES_CONSIDERED_BEFORE_NULL_BYTE=শুধুমাত্র সেই ফাইলের নাম অনুমোদিত যা কেস ইনসেনসিটিভ .jpeg বা .png এক্সটেনশন দিয়ে শেষ হয় এবং শুধু NULL বাইটের আগের অংশ বিবেচনায় নেওয়া হয়। +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE=শুধুমাত্র সেই ফাইলের নাম অনুমোদিত যা কেস ইনসেনসিটিভ .jpeg বা .png এক্সটেনশন দিয়ে শেষ হয়। + +# XXE Vulnerability +XXE_VULNERABILITY=এক ধরনের আক্রমণ যা XML External Entity আক্রমণ নামে পরিচিত, যেখানে একটি দুর্বল কনফিগার্ড XML পার্সার দ্বারা পার্স করা XML ইনপুটে বাহ্যিক এন্টিটির সাদৃশ্য থাকে। এই আক্রমণ গোপনীয় তথ্য ফাঁস, পরিষেবা অস্বীকার, সার্ভার সাইড রিকোয়েস্ট ফরজারি, পোর্ট স্ক্যানিং, এবং অন্যান্য সিস্টেম প্রভাব ঘটাতে পারে।<br/><br/>গুরুত্বপূর্ণ লিঙ্ক:<br/><ol> <li> <a href="https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing" target="_blank">Owasp Wiki Link</a> <li> <a href="https://www.youtube.com/watch?v=DREgLWZqMWg" target="_blank">HackHappy's video tutorial</a> <li> <a href="https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9" target="_blank">Medium article by OneHackMan</a> <li> <a href="https://portswigger.net/web-security/xxe" target="_blank">Portswigger XXE documentation</a> <li> <a href="https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md1" target="_blank">Owasp Prevention cheat sheet</a></ol> +#### Attack Vector Description +XXE_NO_VALIDATION=অনুরোধের বডিতে প্রেরিত XML-এ কোনও যাচাইকরণ নেই। +XXE_DISABLE_GENERAL_ENTITY=পার্সার সাধারণ বাহ্যিক এন্টিটি প্রক্রিয়া করতে নিষ্ক্রিয় করা হয়েছে। +XXE_DISABLE_GENERAL_AND_PARAMETER_ENTITY=পার্সার সাধারণ এবং প্যারামিটার এন্টিটি উভয় প্রক্রিয়া করতে নিষ্ক্রিয় হয়েছে। + +# Path Traversal Attack +PATH_TRAVERSAL_VULNERABILITY=ডিরেক্টরি ট্র্যাভার্সাল বা পাথ ট্র্যাভার্সাল হ'ল ব্যবহারকারী প্রদত্ত ইনপুট ফাইল নামের দুর্বল নিরাপত্তা যাচাইকরণ /স্যানিটাইজেশনের মাধ্যমে ফাইল API-এ "parent directory" নির্দেশক অক্ষর প্রবেশ করানো।<br/><br/>এই আক্রমণের উদ্দেশ্য হল একটি প্রভাবিত অ্যাপ্লিকেশন ব্যবহার করে অ-অনুমোদিত ফাইল সিস্টেম অ্যাক্সেস পাওয়া।<br/><br/>গুরুত্বপূর্ণ লিঙ্কগুলি:<br/><ol> <li> <a href="https://en.wikipedia.org/wiki/Directory_traversal_attack" target="_blank">উইকিপিডিয়া লিঙ্ক</a> <li> <a href="https://owasp.org/www-community/attacks/Path_Traversal" target="_blank">Owasp উইকি লিঙ্ক</a> </ol> +#### AttackVector description +PATH_TRAVERSAL_URL_PARAM_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার সরাসরি ফাইল পড়ার পথকে যুক্ত করে। +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার যদি ".." না থাকে তবে সরাসরি যুক্ত করা হয়। +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার যদি ".." অথবা "%2f" না থাকে তবে সরাসরি যুক্ত করা হয়। +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার যদি "..", "%2f" অথবা "%2F" না থাকে তবে সরাসরি যুক্ত করা হয়। +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার যদি ".." না থাকে তবে URL এনকোডিং সাথে সরাসরি যুক্ত করা হয়। + +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে সরাসরি যুক্ত করা হয়। +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_PARENT_DIRECTORY_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে যুক্ত করা হয় যদি "../" না থাকে। +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে যুক্ত করা হয় যদি ".." না থাকে। +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে যুক্ত করা হয় যদি ".." অথবা "%2f" না থাকে। +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে যুক্ত করা হয় যদি "..", "%2f" অথবা "%2F" না থাকে। +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" কুযোগ প্যারামিটার null byte এর আগে যুক্ত করা হয় যদি ".." না থাকে তবে URL এনকোডিংসহ। + +# Command Injection Attack +COMMAND_INJECTION_VULNERABILITY=Command injection একটি আক্রমণ যার উদ্দেশ্য ভঙ্গুর অ্যাপ্লিকেশনের মাধ্যমে হোস্ট অপারেটিং সিস্টেমে স্বেচ্ছামতো কমান্ড চালানো। Command injection আক্রমণ তখনই সম্ভব যখন অ্যাপ্লিকেশন সিস্টেম শেলকে অনিরাপদ ব্যবহারকারীর ইনপুট পাঠায় (যেমন ফর্ম, কুকিজ, HTTP হেডার)। এই আক্রমণে, ব্যবহারকারীর প্রদত্ত OS কমান্ডগুলি সাধারণত ভঙ্গুর অ্যাপ্লিকেশনের প্রিভিলেজের সাথে এক্সিকিউট হয়। Command injection আক্রমণ প্রাথমিকভাবে অপ্রতুল ইনপুট যাচাইকরণ থেকে হয়। <br/><br/> গুরুত্বপূর্ণ লিঙ্ক: <ol> <li> <a href="https://cwe.mitre.org/data/definitions/77.html" target="_blank">CWE-77</a> <li> <a href="https://owasp.org/www-community/attacks/Command_Injection" target="_blank">Owasp Wiki Link</a> </ol> + +#### Attack vectors +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED="ipaddress" কুযোগ প্যারামিটার সরাসরি কার্যকর করা হয়। +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_NOT_PRESENT="ipaddress" কুযোগ প্যারামিটার কার্যকর করা হয় যদি ";", "&", অথবা স্পেস না থাকে। +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_NOT_PRESENT="ipaddress" কুযোগ প্যারামিটার কার্যকর করা হয় যদি ";", "&", "%26", "%3B", অথবা স্পেস না থাকে। +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" কুযোগ প্যারামিটার কার্যকর করা হয় যদি ";", "&", "%26", "%3B", "%3b", অথবা স্পেস না থাকে। +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_%7C_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" কুযোগ প্যারামিটার কার্যকর করা হয় যদি ";", "&", "%26", "%3B", "%3b", "%7C", "%7c", অথবা স্পেস না থাকে। + +# Local File Injection +#URL_BASED_LFI_INJECTION=URL-ভিত্তিক লোকাল ফাইল ইঞ্জেকশন আক্রমণ। +#LFI_URL_PARAM_BASED_DIRECT_INJECTION=URL প্যারামিটার "fileName" সরাসরি include ফাইলে পাঠানো হয়। +#LFI_URL_PARAM_BASED_INJECTION_WITH_VALIDATION_ON_FILE=URL প্যারামিটার "fileName" যাচাই করে তারপর include ফাইলে পাঠানো হয়। + +# Local File Injection with Null Byte +#URL_WITH_NULL_BYTE_BASED_LFI_INJECTION=Null Byte ইঞ্জেকশনযুক্ত URL-ভিত্তিক লোকাল ফাইল ইঞ্জেকশন আক্রমণ। +#LFI_URL_PARAM_AND_NULL_BYTE_BASED_DIRECT_INJECTION=যদি URL প্যারামিটার "fileName"-এ Null Byte থাকে তবে সরাসরি include ফাইলে পাঠানো হয়। +#LFI_URL_PARAM_BASED_INJECTION_WITH_VALIDATION_ON_FILE=URL প্যারামিটার "fileName" যাচাই করে তারপর include ফাইলে পাঠানো হয়। + +# Remote File Injection +URL_BASED_RFI_INJECTION=URL ভিত্তিক রিমোট ফাইল ইঞ্জেকশন আক্রমণ। + +# JWT Injection +JWT_INJECTION_VULNERABILITY=JSON Web Token (JWT) একটি মুক্ত মানক (RFC 7519) যা পক্ষগুলির মধ্যে JSON অবজেক্ট আকারে তথ্য নিরাপদে প্রেরণের পদ্ধতি সংজ্ঞায়িত করে। এই তথ্য ডিজিটালি স্বাক্ষরিত হওয়ায় তা যাচাই এবং বিশ্বাসযোগ্য। JWT বাস্তবায়নে বিভিন্ন ভুল হতে পারে যা অ্যাপ্লিকেশন অনুমোদন বা প্রমাণীকরণ প্রক্রিয়াকে ক্ষতিগ্রস্ত করতে পারে এবং সম্পূর্ণ সিস্টেম আক্রান্ত হতে পারে। <br/><br/> JWT সম্পর্কে গুরুত্বপূর্ণ লিঙ্ক: <ol> <li> <a href="https://en.wikipedia.org/wiki/JSON_Web_Token" target="_blank">উইকিপিডিয়া লিঙ্ক</a> <li> <a href="https://jwt.io/introduction/" target="_blank">Jwt.io</a> </ol> JWT দুর্বল বাস্তবায়ন সম্পর্কিত গুরুত্বপূর্ণ লিঙ্ক: <ol> <li> <a href="https://tools.ietf.org/html/draft-ietf-oauth-jwt-bcp-06" target="_blank">JSON Web Token সেরা বর্তমান পদ্ধতি (IETF ডকুমেন্ট)</a> <li> <a href="https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_Cheat_Sheet_for_Java.html" target="_blank">JWT বাস্তবায়নে দুর্বলতা জন্য OWASP চিটশিট</a> <li> <a href="https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries" target="_blank">সার্ভার সাইড JWT দুর্বলতা</a> </ol> + +#### AttackVector description +JWT_URL_EXPOSING_SECURE_INFORMATION=অনুরোধে JWT টোকেন থাকে যা URL-এ প্রকাশ পায়। এটি PCI ও অন্যান্য সংস্থার নীতিমালা লঙ্ঘন করতে পারে। +COOKIE_CONTAINING_JWT_TOKEN_SECURITY_ATTRIBUTES_MISSING=কুকি-ভিত্তিক JWT টোকেন কিন্তু Secure/HttpOnly ফ্ল্যাগ এবং কুকি প্রিফিক্স নয়। +COOKIE_WITH_HTTPONLY_WITHOUT_SECURE_FLAG_BASED_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন যেখানে HttpOnly ফ্ল্যাগ থাকে কিন্তু Secure ফ্ল্যাগ এবং কুকি প্রিফিক্স নেই। +COOKIE_BASED_LOW_KEY_STRENGTH_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন দুর্বল কী দিয়ে স্বাক্ষরিত। +COOKIE_BASED_NULL_BYTE_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন Null Byte দুর্বলতার জন্য ঝুঁকিপূর্ণ। +COOKIE_BASED_NONE_ALGORITHM_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন None অ্যালগোরিদম দুর্বলতার জন্য ঝুঁকিপূর্ণ। +COOKIE_BASED_KEY_CONFUSION_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন যা key confusion দুর্বলতা নিয়ে। +COOKIE_BASED_FOR_JWK_HEADER_BASED_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন যা JWK ক্ষেত্র বিশ্বাসযোগ্য কিনা তা যাচাই না করে বিশ্বাস করে এই দুর্বলতার জন্য ঝুঁকিপূর্ণ। +COOKIE_BASED_EMPTY_TOKEN_JWT_VULNERABILITY=কুকি-ভিত্তিক JWT টোকেন যা খালি টোকেন দুর্বলতার জন্য ঝুঁকিপূর্ণ। + +# SQL Injection Vulnerability +SQL_INJECTION_VULNERABILITY=SQL Injection আক্রমণ হল ক্লায়েন্ট থেকে অ্যাপ্লিকেশনে পাঠানো ইনপুট ডাটায় SQL কুয়েরি প্রবেশ করানোর মাধ্যমে সংঘটিত হয়। সফল SQL ইনজেকশনের মাধ্যমে ডাটাবেসের সংবেদনশীল ডেটা পড়া, ডাটাবেস ডেটা (Insert/Update/Delete) পরিবর্তন, ডাটাবেস ব্যবস্থাপনা অপারেশন যেমন DBMS শাটডাউন, DBMS ফাইল সিস্টেমের কোনো নির্দিষ্ট ফাইলের বিষয়বস্তু উদ্ধার এবং কখনও কখনও অপারেটিং সিস্টেমে কমান্ড দেওয়া সম্ভব। SQL ইনজেকশন আক্রমণ একটি ইনজেকশন আক্রমণের ধরন যেখানে SQL কমান্ড ডাটা পাথে প্রবেশ করানো হয় যাতে পূর্বনির্ধারিত SQL কমান্ড সম্পাদিত হয়। <br/> SQL Injection সম্পর্কে গুরুত্বপুর্ণ লিঙ্ক: <ol> <li> <a href="https://en.wikipedia.org/wiki/SQL_injection" target="_blank">উইকিপিডিয়া লিঙ্ক</a> <li> <a href="https://owasp.org/www-community/attacks/SQL_Injection" target="_blank">Owasp SQL Injection</a> <li> <a href="https://www.youtube.com/watch?v=WkHkryIoLD0" target="_blank">Joe McCray এর SQL Injection আলোচনা</a> <li> <a href="https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/" target="_blank">Netsparker SQL Injection Cheat Sheet</a> </ol> SQL ইনজেকশনের প্রতিরোধ কৌশল উপলক্ষ্যে গুরুত্বপূর্ণ লিঙ্ক: <ol> <li> <a href="https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html" target="_blank">Owasp প্রতিবন্ধকতা চিটশিট</a> <li> <a href="https://www.websec.ca/kb/sql_injection" target="_blank">SQL Injection জ্ঞানভাণ্ডার</a> </ol> + +#### AttackVector description +ERROR_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=কুয়েরি প্যারামিটার সরাসরি SQL কুয়েরিতে যুক্ত হয়, যা নির্দিষ্ট পরিস্থিতিতে ব্যত্যয় ঘটাতে পারে এবং অ্যাপ্লিকেশনের তথ্য ফাঁস করে। +ERROR_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=কুয়েরি প্যারামিটার একক উদ্ধৃতিতে বেষ্টন করেই SQL কুয়েরিতে যুক্ত হয়, যা নির্দিষ্ট পরিস্থিতিতে ব্যত্যয় ঘটায় এবং তথ্য ফাঁস করে। +ERROR_SQL_INJECTION_URL_PARAM_REMOVES_SINGLE_QUOTE_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=কুয়েরি প্যারামিটার থেকে উদ্ধৃতি সরিয়ে দেয়া হয় এবং পরে তা একক উদ্ধৃতিতে বেষ্টন করে SQL কুয়েরিতে যুক্ত হয়, যা তথ্য ফাঁস করতে পারে। +ERROR_SQL_INJECTION_URL_PARAM_APPENDED_TO_PARAMETERIZED_QUERY=কুয়েরি প্যারামিটার সরাসরি SQL কুয়েরিতে যুক্ত হয় এবং এরপর parameterized কুয়েরি তৈরি হয়; PreparedStatement সঠিক ব্যবহার গুরুত্বপূর্ণ। +UNION_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=কুয়েরি প্যারামিটার সরাসরি SQL কুয়েরিতে যুক্ত হয়, তাই "Union" কীওয়ার্ড ব্যবহার করে ফলাফল সংযুক্ত করে অ্যাপ্লিকেশনের তথ্য বের করা যায়। +UNION_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=কুয়েরি প্যারামিটার একক উদ্ধৃতিতে রেখে SQL কুয়েরিতে যুক্ত হয়, তাই "Union" কীওয়ার্ড ব্যবহার করে ফলাফল সংযুক্ত করে তথ্য বের করা যায়। +UNION_SQL_INJECTION_URL_PARAM_REMOVES_SINGLE_QUOTE_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=কুয়েরি প্যারামিটার থেকে উদ্ধৃতি সরিয়ে একক উদ্ধৃতিতে রেখে SQL কুয়েরিতে যুক্ত হয়, তাই "Union" কীওয়ার্ড ব্যবহার করে তথ্য বের করা যায়। +BLIND_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=কুয়েরি প্যারামিটার সরাসরি SQL কুয়েরিতে যুক্ত হয়, ফলে কুয়েরি পরিবর্তন করা যায়। +BLIND_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=কুয়েরি প্যারামিটার একক উদ্ধৃতিতে রেখে SQL কুয়েরিতে যুক্ত হয়, ফলে কুয়েরি পরিবর্তন করা যায়। + +#### SSRF Vulnerability +SSRF_VULNERABILITY=Server-Side Request Forgery (SSRF) আক্রমণে আক্রমণকারী সার্ভারের ফাংশনালিটি ব্যবহার করে অভ্যন্তরীণ রিসোর্স পড়তে বা আপডেট করতে পারে। আক্রমণকারী URL সরবরাহ বা পরিবর্তন করতে পারে যাতে সার্ভারে চালিত কোড সেই URL পড়ে বা ডেটা জমা দেয়, এবং সাবধানে নির্বাচিত URL ব্যবহার করে সার্ভারের AWS মেটাডেটা পড়তে, অভ্যন্তরীণ সার্ভিসেসে সংযোগ করতে (যেমন HTTP চালিত ডাটাবেস) বা এমন অভ্যন্তরীণ সার্ভিসে পোস্ট অনুরোধ পাঠাতে পারে যা প্রকাশ করা হয়নি। <br/> SSRF সম্পর্কে গুরুত্বপূর্ণ লিঙ্ক: <ol> <li> <a href="https://en.wikipedia.org/wiki/Server-side_request_forgery" target="_blank">উইকিপিডিয়া লিঙ্ক</a> <li> <a href="https://owasp.org/www-community/attacks/Server_Side_Request_Forgery" target="_blank">Owasp SSRF</a> <li> <a href="https://www.youtube.com/watch?v=AsPpxqIlTDU" target="_blank">Musab Khan এর SSRF ভিডিও</a> </ol> +SSRF_VULNERABILITY_URL_WITHOUT_CHECK=প্রদত্ত URL এ কোনও যাচাইকরণ নেই। +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL=file:// প্রোটোকল সহ URL অনুমোদিত নয়। +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_169.254.169.254=file:// প্রোটোকল এবং অভ্যন্তরীণ মেটাডেটা সার্ভিসের IP 169.254.169.254-এর অ্যাক্সেস অনুমোদিত নয়। +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_INTERNAL_METADATA_URL=file:// প্রোটোকল এবং অভ্যন্তরীণ মেটাডেটা সার্ভিসে অ্যাক্সেস অনুমোদিত নয়। +SSRF_VULNERABILITY_URL_ONLY_IF_IN_THE_WHITELIST=শুধুমাত্র হোয়াইটলিস্ট করা URL-গুলি অনুমোদিত। + +# JWT Injection Header +HEADER_INJECTION_VULNERABILITY=এটি পরীক্ষা করে কিভাবে JWT হেডার পরিবর্তন করে স্বাক্ষর যাচাইকরণ প্রভাবিত হতে পারে। সব কীগুলি যেমন (INVALID_END_POINT, XSS_VULNERABILITY ইত্যাদি) অপরিবর্তিত থাকতে হবে। diff --git a/src/main/resources/i18n/messages_mr_IN.properties b/src/main/resources/i18n/messages_mr_IN.properties new file mode 100644 index 00000000..daf11f3d --- /dev/null +++ b/src/main/resources/i18n/messages_mr_IN.properties @@ -0,0 +1,153 @@ +EMPTY_LABEL= + +# Exception Code Labels +INVALID_END_POINT=खालील {0} end point उपलब्ध नाही. कृपया allEndPoint कॉलमधून endpoint नाव तपासा आणि पुन्हा प्रयत्न करा. +INVALID_LEVEL=खालील {0} level वैध स्तर मूल्य नाही. कृपया supported level आणि endpoint allEndPoint कॉलमधून तपासा आणि पुन्हा प्रयत्न करा. +UNAVAILABLE_LEVEL=खालील {0} level {1} endpoint मध्ये उपलब्ध नाही. कृपया supported level आणि endpoint allEndPoint कॉलमधून तपासा आणि पुन्हा प्रयत्न करा. +INVALID_ACCESS=खालील {0} पद्धत प्रवेशयोग्य नाही. कारणे असू शकतात चुकीची दृश्यता (visibility) किंवा पद्धत व्याख्या (method definition) चुकीची असणे. कृपया लॉग तपासा. +INVALID_AGRUMENTS=खालील {0} पद्धतीसाठी योग्य arguments दिलेले नाहीत. कृपया लॉग तपासा. +SYSTEM_ERROR=सिस्टम त्रुटी आली आहे. कृपया लॉग तपासा. + +# XSS based Injections +XSS_VULNERABILITY=Cross-Site Scripting (XSS) हल्ले हे injection प्रकारातील आहेत, ज्यात दुर्भावनायुक्त स्क्रिप्ट्स निर्दोष आणि विश्वसनीय वेबसाइटवर इंजेक्ट केल्या जातात. XSS हल्ला तेव्हा होतो जेव्हा हल्लेखोर वेब अनुप्रयोग वापरून दुर्भावनायुक्त कोड, सामान्यत: ब्राउझर साइड स्क्रिप्टच्या स्वरुपात, दुसर्‍या वापरकर्त्याला पाठवतो. अशा त्रुटी कोठेही होते जिथे वेब अनुप्रयोग वापरकर्त्याचा इनपुट तो तयार करतो अशा आउटपुटमध्ये पडताळणी किंवा एन्कोडिंग न करता वापरतो. <br/> <br/> हल्लेखोर XSS द्वारे दुर्भावनायुक्त स्क्रिप्ट अनपेक्षित वापरकर्त्याला पाठवू शकतो. वापरकर्त्याच्या ब्राउझरला लक्षात येत नाही की स्क्रिप्ट अविश्वसनीय आहे आणि ती स्क्रिप्ट चालू करते. कारण ती स्क्रिप्ट विश्वसनीय स्रोताकडून आली असल्याचा त्याला भास होतो, त्यामुळे ती स्क्रिप्ट कुकीज, सत्र टोकन्स किंवा ब्राउझरमध्ये संग्रहित अन्य संवेदनशील माहिती वापरू शकते. ही स्क्रिप्ट HTML पृष्ठाची सामग्रीही बदलू शकते. <br/><br/> अधिक माहितीसाठी XSS वर: <ol><li><a href="https://owasp.org/www-community/attacks/xss/" target="_blank">Owasp XSS</a><li><a href="https://www.google.com/about/appsecurity/learning/xss/" target="_blank">Google Application Security</a></ol> + +#### AttackVector description +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG="comment" क्वेरी पॅरामीटरचे मूल्य थेट "div" टॅगमध्ये जोडले जाते. +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG_REPLACING_IMG_AND_INPUT_TAG="comment" क्वेरी पॅरामीटरचे मूल्य "