ZeroDay Test

ZeroDay Test

Share

Don’t Wait for a Breach || Let's Secure your Digital Assets. Bangladesh's First Bug Bounty Platform 🇧🇩

07/07/2026

🔐 REST API Security বুঝুন: কেন আধুনিক হ্যাকাররা এখন ওয়েবসাইটের চেয়ে API-কে বেশি টার্গেট করে?

একসময় সাইবার আক্রমণের প্রধান লক্ষ্য ছিল ওয়েবসাইট। কিন্তু এখন পরিস্থিতি বদলে গেছে। আধুনিক হ্যাকাররা ধীরে ধীরে তাদের ফোকাস সরিয়ে নিচ্ছে REST API-এর দিকে।

কেন?

কারণ আজকের প্রায় প্রতিটি ডিজিটাল সেবা—মোবাইল অ্যাপ, ওয়েব অ্যাপ, ই-কমার্স, ব্যাংকিং, ফিনটেক, SaaS, এমনকি IoT ডিভাইস—সবকিছুই API-এর মাধ্যমে একে অপরের সাথে যোগাযোগ করে। অর্থাৎ, API-ই এখন অ্যাপ্লিকেশনের মূল দরজা।

ZeroDay Test এর ভালনারেবিলিটি ব্লগ সিরিজ এ এবার Topic - Understanding REST API Security: Why Modern Applications Depend on APIs

💢 Explore - https://zerodaytest.com/blog/understanding-rest-api-security-why-modern-hackers-target-apis-instead-of-websites

যদি একটি API নিরাপদ না হয়, তাহলে একজন আক্রমণকারী অনেক সময় ওয়েবসাইটে না গিয়েই সংবেদনশীল তথ্য, ব্যবহারকারীর অ্যাকাউন্ট বা গুরুত্বপূর্ণ ফাংশনে প্রবেশ করতে পারে।

API Security-তে সবচেয়ে বেশি দেখা যায় এমন কিছু দুর্বলতা হলো:

🔹 Broken Object Level Authorization (BOLA / IDOR)
🔹 Broken Authentication
🔹 Excessive Data Exposure
🔹 Lack of Rate Limiting
🔹 Mass Assignment
🔹 Broken Function Level Authorization
🔹 Business Logic Vulnerabilities

অনেক প্রতিষ্ঠান এখনও শুধুমাত্র তাদের ওয়েবসাইটের নিরাপত্তা নিয়ে কাজ করে, অথচ একই অ্যাপ্লিকেশনের API সম্পূর্ণভাবে উপেক্ষিত থেকে যায়। বাস্তবে, এই API-ই অনেক বড় ডেটা লিক ও নিরাপত্তা ঝুঁকির কারণ হয়ে দাঁড়ায়।

একজন Web Application Pentester বা Bug Hunter হিসেবে শুধু UI টেস্ট করলেই হবে না। এখন প্রয়োজন—

✅ API Endpoint Enumeration
✅ Authentication ও Authorization Testing
✅ JWT/OAuth Security Testing
✅ Business Logic Testing
✅ Rate Limit Validation
✅ API Fuzzing

ভবিষ্যতের Application Security মানেই API Security।

আপনি যদি Web Security বা Bug Bounty শিখতে চান, তাহলে REST API Security শেখা আর অপশন নয়—এটি এখন একটি অপরিহার্য দক্ষতা।

Mission 2026-এর মাধ্যমে আমরা বাংলা ভাষায় REST API Security ও Web Application Security Testing নিয়ে সম্পূর্ণ প্র্যাকটিক্যাল কনটেন্ট তৈরি করছি, যাতে নতুনরাও ইন্ডাস্ট্রি-রেডি স্কিল অর্জন করতে পারে।

আপনার প্রতিষ্ঠানের API কি সত্যিই নিরাপদ?

*******onTesting #বাংলায়_সাইবার_সিকিউরিটি

05/07/2026

🔐 OAuth নিরাপদ—তবে ভুলভাবে Implement করলে এটি বড় ধরনের Security Risk-এ পরিণত হতে পারে।

বর্তমান সময়ে OAuth ব্যবহার করা হচ্ছে অসংখ্য Web Application ও API-তে। কিন্তু Redirect URI Validation, State Parameter Handling, Scope Misconfiguration, Access Token Leakage কিংবা Authorization Flow-এর দুর্বলতা কাজে লাগিয়ে একজন আক্রমণকারী Unauthorized Access অর্জন করতে পারে।

Security Testing-এর সময় OAuth শুধুমাত্র Login Feature হিসেবে দেখলেই হবে না; পুরো Authorization Flow, Token Handling এবং Trust Relationship গভীরভাবে যাচাই করা জরুরি।

ZeroDay Test এর ভালনারেবিলিটি ব্লগ সিরিজ এ এবার ৪ টি পর্বে আমরা OAuth Vulnerability Testing-এর বাস্তবধর্মী Methodology, Common Misconfigurations এবং Exploitation Techniques নিয়ে আলোচনা করেছি, যাতে আপনি বাস্তব Bug Hunting ও Pe*******on Testing-এ এগুলো শনাক্ত করতে পারেন।

🐞 পর্ব ০১ - https://www.zerodaytest.com/blog/part-01-oauth-security-vulnerability
🐞 পব ০২ - https://www.zerodaytest.com/blog/oauth-security-vulnerability-testing-part-02
🐞 পর্ব ০৩ - https://www.zerodaytest.com/blog/oauth-security-vulnerability-testing-part-03
🐞 পর্ব ০৪ - https://www.zerodaytest.com/blog/oauth-security-vulnerability-testing-part-04

💬 আপনার অভিজ্ঞতায় সবচেয়ে ইন্টারেস্টিং OAuth Vulnerability কোনটি? কমেন্টে জানাতে পারেন।

*******onTesting

02/07/2026

অনেকেই মনে করেন JSON Web Token (JWT) ব্যবহার করলেই Authentication নিরাপদ হয়ে যায়। কিন্তু বাস্তবে JWT-এর ভুল Configuration বা দুর্বল Validation একটি Application-কে মারাত্মক ঝুঁকির মধ্যে ফেলতে পারে।

একটি ছোট ভুলের কারণেই হতে পারে—

⚠️ Authentication Bypass
⚠️ Privilege Escalation
⚠️ Token Forgery
⚠️ Account Takeover
⚠️ Unauthorized Access

JWT Security শুধু Token Generate করার বিষয় নয়; বরং Signature Verification, Claim Validation, Secret Management, Expiration, Key Rotation এবং Secure Implementation—সবকিছুই সমান গুরুত্বপূর্ণ।

ZeroDay Test এর Vulnerability Blog Series এর এই পর্বে আমরা JWT-এর Internal Structure, Common Vulnerabilities, Exploitation Techniques এবং Secure Implementation নিয়ে বাস্তব উদাহরণের মাধ্যমে আলোচনা করেছি।

যথাক্রমে ৪ পর্বের ধারাবাহিক ব্লগ গুলোর লিঙ্ক শেয়ার করা হলো -

🪲 Part 01 - https://www.zerodaytest.com/blog/jwt-for-bug-hunters
🪲 Part 02 - https://www.zerodaytest.com/blog/jwt-for-bug-hunters-part-02
🪲 Part 03 - https://www.zerodaytest.com/blog/jwt-part-03-enterprise
🪲 Part 04 - https://www.zerodaytest.com/blog/jwt-final-part

আপনি যদি Bug Hunting, Web Application Security Testing বা Pe*******on Testing শিখতে চান, তাহলে এই পর্বটি মিস করবেন না।

*******onTesting

02/07/2026

🎉 We are excited to announce that BD Sign Architect has officially launched its Vulnerability Disclosure Program (VDP) on ZeroDay Test.

By adopting a responsible vulnerability disclosure process, BD Sign Architect is taking a proactive step toward strengthening its cybersecurity posture and ensuring the security of its digital assets.
We appreciate their commitment to security, transparency, and continuous improvement. Through this program, security researchers can responsibly report vulnerabilities, helping identify and address security risks before they can be exploited.

Together, we are fostering a stronger culture of responsible disclosure and cybersecurity resilience.

🔐 Security is not a one-time project—it's an ongoing commitment.

01/07/2026

বাংলাদেশের প্রথম বাগ বাউন্টি প্ল্যাটফর্ম ZeroDay Test আয়োজন করেছে বাংলায় Bug Hunting Blog Series এর প্রথম টপিক হিসেবে থাকছে Business Logic Vulnerability 🪲

🛡️ Business Logic Vulnerability — সবচেয়ে বিপজ্জনক ভালনারেবলিটি যা কোনো ফায়ারওয়ালও ধরতে পারে না!

অ্যাপ্লিকেশনের কোড ঠিক আছে, সিকিউরিটি প্যাচও আপডেটেড। কিন্তু ব্যবসায়িক নিয়ম (Business Logic) যদি দুর্বল হয়, তাহলে হ্যাকার শুধু একটা স্মার্ট রিকোয়েস্টেই আপনার পেমেন্ট লজিক বাইপাস করে, প্রাইস ম্যানিপুলেট করে, অথবা অথরাইজেশন ভেঙে ফেলতে পারে।

ধারাবাহিক পাঁচটি পর্বে থাকছে ১৭ টি অধ্যায়ে বিশাল ই-বুক এর ন্যায় ৫ টি ব্লগ পোস্ট, লিঙ্ক গুলো যথাক্রমে নিচে দেওয়া হলো -

🐞 পর্ব ০১ - https://www.zerodaytest.com/blog/business-logic-vulnerability-for-bug-hunters
🐞 পর্ব ০২ - https://www.zerodaytest.com/blog/part-02-business-logic-vulnerability-testing
🐞 পর্ব ০৩ - https://www.zerodaytest.com/blog/part03-business-logic-vulnerability-for-bug-hunters
🐞 পর্ব ০৪ - https://www.zerodaytest.com/blog/part-04-business-logic-vulnerability-for-bug-hunters
🐞 পর্ব ০৫ - https://www.zerodaytest.com/blog/ai-business-logic-security

ভালনারেবলিটি এক্সপ্লয়েটেশন শিখুন বাংলা ভাষায় সম্পূর্ণ ফ্রিতে!

Business Logic Vulnerabilities এর সবচেয়ে ভয়ংকর বিষয় — এটা সাধারণ স্ক্যানারে ধরা পড়ে না। শুধু ধরা পড়ে স্মার্ট মাইন্ডের কাছে।

Business Logic Flaw = Silent Killer of Applications

30/06/2026

নতুন বাগ হান্টার দের জন্য বিভিন্ন Vulnerabilities এর ব্লগপোস্ট আসতে চলেছে,
কোন Bug সম্পর্কে বিস্তারিত জানতে আগ্রহী কমেন্ট করুন 👇

30/06/2026

🏆 Leaderboard Updated!
🪲 June 2026

Every point on this leaderboard represents more than just a ranking—it reflects responsible disclosure, continuous learning, and a commitment to making the internet safer.

🎊 Visit - https://www.zerodaytest.com/leaderboard

Congratulations to our Top Researchers for their outstanding contributions, and a huge thank you to every hunter who has submitted reports through ZeroDay Test. Whether you're in the Top 10 or submitting your very first vulnerability, you're helping organizations strengthen their security.

🚀 Keep hunting.
🎯 Keep learning.
🛡️ Keep securing the web.

Who will claim the #1 spot in the next leaderboard update?

29/06/2026

In just 2 months of Journey, we're now a Platform of 800+ Hunters from 3 Regions around the World 🎊

98% are from 🇧🇩

Want your business to be the top-listed Computer & Electronics Service in Dhaka?
Click here to claim your Sponsored Listing.

Address

Level 04, 15 Indira Road, Farmgate
Dhaka
1215