After over 40,000 downloads of its previous version in just over six short months, the XOOPS Project, one of world’s leading Open Source CMS (Content Management System), has released a new version of its award winning software – XOOPS 2.4.5.
This release is focused mainly on bug fixes and cleaning up conflicts in previous versions of the XOOPS 2.4 series. Some areas, including tinyMCE/ckeditor editors, have been improved. ::Full content::
Oracle VM VirtualBox – the ultimate virtualization software for enterprise and home – came with a webservice tool called vboxwebsrv, and if you have your virtualBox installed on a host machine you don’t have necessarily on the same machine to manage it. phpVirtualBox is a new project which aims to make VirtualBox management possible simply from a web browser. The web application is powered by PHP and jQuery providing a real clone of the VirtualBox software in your web browser. Much of its verbage and some of its code is based on the (inactive) vboxweb project.
phpVirtualBox require A web server with PHP >= 5.2.0 and a working VirtualBox installation >= 3.2.2. Key features include : ::Full content::
Trong phần này chúng tôi sẽ giới thiệu cho các bạn về tấn công chiếm quyền điều khiển Session, cùng với đó là một số lý thuyết và cách thức thực hiện tấn công cũng như cách phát hiện và biện pháp phòng chống.
Trong hai phần đầu của loạt bài giới thiệu về các tấn công man-in-the-middle này, chúng tôi đã giới thiệu cho các bạn về tấn công giả mạo ARP cache, giả mạo DNS. Như những gì chúng tôi đã giới thiệu trong các ví dụ đó, các tấn công MITM ra rất hiệu quả và rất khó bị phát hiện. Tuy nhiên trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu thêm cho các bạn một cách tấn công mới, đó là tấn công chiếm quyền điều khiển session. Cũng như trong hai phần trước, chúng tôi sẽ giới thiệu một số lý thuyết và cách thức thực hiện tấn công cũng như cách phát hiện và biện pháp phòng chống.
Chiếm quyền điều khiển Session
Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi đề cập đến một session, chúng ta sẽ nói về kết nối giữa các thiết bị mà trong đó có trạng thái đàm thoại được thiết lập khi kết nối chính thức được tạo, kết nối này được duy trì và phải sử dụng một quá trình nào đó để ngắt nó. Khi nói về các session, lý thuyết có đôi chút lộn xộn, chính vì vậy chúng ta hãy xem xét một session theo một cảm nhận thực tế hơn.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn về hành động chiếm quyền điều khiển session có liên quan đến các session HTTP. Nếu để ý một số website mà bạn truy cập có yêu cầu thông tin đăng nhập thì chúng chính là các ví dụ tuyệt vời cho các kết nối hướng session. Bạn phải được thẩm định bởi website bằng username và password để thiết lập session, sau đó website sẽ duy trì một số hình thức kiểm tra session để bảo đảm bạn vẫn được đăng nhập và được phép truy cập tài nguyên (thường được thực hiện bằng một cookie), khi session kết thúc, các chứng chỉ username và password sẽ được xóa bỏ và đó cũng là khi session hết hiệu lực. Đây là một ví dụ cụ thể về session mà mặc dù chúng ta không phải lúc nào cũng nhận ra nó, các session sẽ xuất hiện liên tục và hầu hết sự truyền thông đều dựa vào một số hình thức của session hoặc hành động dựa trên trạng thái.
Như những gì chúng ta thấy trong các tấn công trước, không có thứ gì khi đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn phía sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dùng để thiết lập một session, khi đó bạn có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session. Ví dụ trên của chúng tôi có nghĩa rằng nếu chúng ta capture cookie được sử dụng để duy trì trạng thái session giữa trình duyệt của bạn và website mà bạn đang đăng nhập vào, thì chúng ta có thể trình cookie đó với máy chủ web và thủ vai kết nối của bạn. Đứng trên quan điểm của những kẻ tấn công thì điều này quả là thú vị. ::Full content::
Zend Server 5.0 Reduces Problem Resolution Time by up to 50 Percent; Adds Job Queue for Improved End-user Experience; Includes Support for PHP 5.3
Cupertino, CA — February 24, 2010 — Zend Technologies, the PHP Company, today announced the general availability of Zend Server 5.0, a major new version of the company’s PHP Web application server. New Code Tracing technology in Zend Server 5.0 enables PHP developers and administrators to slash problem resolution time by up to 50%. For the first time, users have visibility into the behavior of their code in production environments, with the ability to pinpoint the root cause of application issues quickly and eliminate the time-consuming and sometimes near impossible task of recreating problems in order to resolve them.
“Zend Server 5.0 is a huge step forward for businesses running business-critical PHP Web applications,” said Andi Gutmans, CEO and co-founder at Zend. “With this new version we are delivering application monitoring and diagnostics as part of the base application server at no additional cost. The new Code Tracing technology revolutionizes how businesses can reduce time spent on problem resolution. This and other enhancements will help businesses deliver reliable high-performance applications and maximize end-user satisfaction while reducing development and management time and costs.”
English may have emerged as the international language of business and, subsequently, as the default language of the World Wide Web, but consider this: 75% of the world’s population speaks no English whatsoever.
With this in mind, the need for businesses to talk to international customers in their own language can’t be overstated. Even though English is the most widely spoken second language, the fact remains that most consumers will search for products or services in their native tongue first.
So for any business looking to go global and tackle new or emerging markets, the need to ‘think local’ means you should be aware of the multitude of cultural and linguistic complexities that you will face when entering foreign markets.
For example, the French in France and the French in Canada (Québéquois) is largely the same, but there are enough dialectal differences between the two forms of French to mean that distinct marketing strategies are essential when targeting each market.
Visual WebGui are sharing with us today a new interesting case study for a web applications automated IDE built with Visual WebGUI : Automato.
“Visual WebGui turns web dreams into reality in a very gracious way while Automato makes it even more powerful… No any other ASP.NET framework does it for you” Alexnaldo Santos
Overview
SISMONT Ltda. creates ERP systems in Brazil since 2003 on Windows platform only. Since 2004 the company targets all the systems it designs for the Web platform.
The Automato project was born to integrate different business applications using single development tool, allowing total customization for customers.
The company already offers its accounting system on a Web platform with a competitive production cost thanks to Automato and Visual WebGui. Until the end of 2010, all of SISMONT’s systems will also be offered on Web platform, significantly increasing their potential performance in Brazil.
In this tutorial We will create realtime chart data update that reflect to price fluctuation. There are many solutions to do this, but now we will cover using a nice flash charting component called FusionCharts. FusionCharts comes with several edition, but now we will use the FusionCharts Free version. You can download it from http://www.fusioncharts.com/free/. By the time of this writing, FusionCharts Free version is 2.2.
The price fluctuation is visualized with a line type chart and data will be fetched from database every 5 seconds using Ajax call and then display the latest 5 (five) data to the chart without any page refresh. We assume you already familiar with deploying the FusionCharts Free and have experience using prototype.js, since we don’t explain every details of the tools we used in this article. Please refer to FusionCharts Free documentation about deploying the chart and prototype.js documentation about the usage of the library.
Let’s do it
1. You have to download the FusionCharts Free version, extract it, and copy the chart FCF_Line.swf (from the Chart folder) to your web root folder.
2. Copy FusionCharts.js (from JSClass folder) to your web root folder.
3. Download prototype.js from www.prototypejs.org and save it as prototype.js on your web root folder. We will use prototype.js to do the Ajax call.
4. Now prepare the table to store the fictional price fluctuation. Here is the simple table structure. We only need 2 (two) fields.
Two hot news from Avactis today, Pentasoft Corp. releases Avactis Shopping Cart 1.9.1 and provides flexible SaaS hosted e-commerce solution.
Latest version of leading e-commerce solution launched in 2001 adds exciting features, new marketing tools and PCI compliant hosting services with free e-commerce support.
Key software improvements include:
- Built-in CMS (Content Management System) with WYSIWYG editor
- Advanced customer reviews and product ratings
- Advanced newsletter management
- Affiliate tracking
Google released a new security tool Skipfish; a fully automated, active web application security reconnaissance tool. It prepares an interactive sitemap for the targeted site by carrying out a recursive crawl and dictionary-based probes. The resulting map is then annotated with the output from a number of active (but hopefully non-disruptive) security checks. The final report generated by the tool is meant to serve as a foundation for professional web application security assessments.
Skipfish key features :
- High speed: pure C code, highly optimized HTTP handling, minimal CPU footprint – easily achieving 2000 requests per second with responsive targets.
- Ease of use: heuristics to support a variety of quirky web frameworks and mixed-technology sites, with automatic learning capabilities, on-the-fly wordlist creation, and form autocompletion.
- Cutting-edge security logic: high quality, low false positive, differential security checks, capable of spotting a range of subtle flaws, including blind injection vectors.
The second version 1.1 beta have just been released few hours ago. Available for Linux, FreeBSD 7.0+, MacOS X, and Windows (via Cygwin); under terms and conditions of the Apache License, version 2.0.
More information and download at http://code.google.com/p/skipfish/
Sympal is a CMS built on top of the latest version of Symfony, 1.4 and requires PHP 5.2.4+. It is designed to take advantage of all the great existing features Symfony already provides and it builds on top of these existing features using the plugin architecture.
It is made up of multiple plugins and also bundles some existing Symfony plugins developed by third parties. Sympal was built to be unobtrusive and plug n’ play so you can use only the individual things you want!
Sympal is introduced as CMF and not a CMS, whereas you can find a comparison to some popular CMS such Joomla, Drupal and Typo3. Most notable features that other CMS don’t have are the underlying OS Framework, MVC architecture, ORM, and a command line interface; while Sympal lack mainly of workflow functionality.
More information and download at http://www.sympalphp.org.
nongdan | 
07 15th, 2010| 