New 2.0.0 Features include :

• New Core – Revolution sports a completely new core, written from the ground-up. It uses the database modeling framework, xPDO.
• Completely configurable – run multiple sites on one core install, install the core outside of webroot, pick any name for the manager and assets directories, change and restructure every manager menu option.
• New parser – fully and infinitely recursive without using regex and no more eval().
• Improved caching options – goodbye 5000 page limit, hello any caching system you so desire to implement. This makes MODx an even better candidate for larger sites with lots of traffic. Also, any Element can now be specified to be treated as a cached or non-cached. There’s even a clean path to completely override the default caching system to implement large-scale caching code like memcached.
• Override everything & lose nothing – as implied by the previous bullet, you can now extend or override any part of the MODx core cleanly and simply, all the while maintaining a clean upgrade path for future releases.
• New Transport Packages – Installing just got a whole lot easier. Create custom distributions and more.
• Contexts – this allows developers to assign different views of your site based on pretty much any criteria. This means native multi-sites, subdomains, running the core outside of webroot
• Core logging – Provides various error levels and output targets including ECHO, HTML, and FILE. You can also use it in add-ons for audit logs, error logs, debugging, or other logging needs.
• Unified, simple tags – supports calls to MODx resources broken across multiple lines, cached calls within cached calls, and allows PHx-like modifiers to be attached to any Element (Snippet, Chunk, TV, Etc.).
• The Manager is MODx – we’ve created the new Manager for the MODx system by using the MODx API, ExtJS, and Smarty templates, as a demonstration of the flexibility of the new core and API.
• Completely new user system – all permissions are now handled via a robust. Attribute Based Access Control (ABAC) security model. Web users and Manager users are now merged into one, simple Users, which can be extended to provide external authentication.
• Element Properties – All Element types have properties now, including Chunks, TVs, Templates and Plugins.
• Lexicon Management – Manage your entire MODx system’s lexicons, all from within the manager.
• Property Sets – No longer do you have to duplicate snippet calls across your entire site. Create a Property Set, assign it, and then manage all the calls in one, simple location.
• Remote Transport Packaging – Install resources by downloading them from custom providers – either MODx-driven or 3rd party – from directly within the Manager.
• New Static Resources – now you can manage files on the filesystem (even outside of webroot) within the Manager.
• New Symlink Resources – exact clones of other resources in your site tree in as many places as you’d like.

More information and download at http://modxcms.com/

Source: PHP Magazine

Some highlights of the 1.2 release:

* The manual is now delivered with the SDK as HTML and also as a PDF document for offline reading (more than 400 pages).
* The new virtual List can handle really large numbers of items. It takes full advantage of qooxdoo’s data binding layer and the infrastructure for creating virtual widgets.
* A Selenium window was added to the cross-browser Inspector app to aid in developing automated GUI tests for qooxdoo applications.
* Many handy features made it into the release to support app developers, e.g. distinct tabs for class or package descriptions in the API viewer, generation of API doc files for dedicated classes by a single command, child control info within the API reference, several
optimizations in the toolchain, more configuration options for the generator, experimental Jython support, real-time logging in the Playground app, and so on.
* More than 200 bugfixes and enhancements over the previous release.

More information including links at :
http://news.qooxdoo.org/qooxdoo-1-2-and-1-1-1-released

Source: Php Magazine

Previously, developers had to complete their code and run various reports to determine if their application was compliant with accessibility standards. Using the new tooling technology, applications are tested dynamically, as developers build the code, providing real-time feedback on compliance.

OAA maintains the new tooling technology will help narrow the Web 2.0 digital divide for many segments of the global population by facilitating consistent, industry-wide interpretation of standards such as the World Wide Web Consortium’s Web Content Accessibility Guidelines, version 2.0 (WCAG 2.0).

The OpenAjax Alliance is an organization of vendors, open-source initiatives and Web developers dedicated to the successful adoption of open and interoperable Ajax-based Web technologies. Led by IBM, the alliance count today more than 100 members including BEA, Borland, the Dojo Foundation, Eclipse Foundation, Google, IBM, Laszlo Systems, Mozilla Corporation, Novell, Openwave Systems, Oracle, Red Hat, Yahoo, Zend and Zimbra.

Source: PHP Magazine

phpVirtualBox require A web server with PHP >= 5.2.0 and a working VirtualBox installation >= 3.2.2. Key features include :

- Start/Stop VMs : Pause, Save State , Discard State, Power Off, ACPI Sleep, ACPI Shutdown
- Snapshots : Take Snapshot, Delete Snapshot, Restore Snapshot
- View VM Log files
- Configure VMs : Excludes serial port configuration, Excludes some display options that do not affect a headless environment
- Media : Add media, Full featured virtual media manager, Create hard disk wizard, Mount read-only media (DVD/CD and Floppy images) while VM is running, Clone disk image, Make disk image Immutable (read-only)
- Create virtual machine wizard
- Global networking configuration : Add / remove / configure host-only interfaces, Configure DHCP settings for host-only interfaces
- Import / Export Virtual Machines
- Virtual Machine Console access : Allows specification of username / password and screen resolution, Can be “detached” to open the VM’s console in a minimal, new browser window.

VirtualBox OSE is supported but support for console tab, USB, and VRDP will be dropped obviously. Notice that the script performs no front-end user authentication of any kind, it is intended to be run on a local network or intranet where access to the phpVirtualBox script is limited by network connectivity. Released under GNU General Public License v3.

Trong hai phần đầu của loạt bài giới thiệu về các tấn công man-in-the-middle này, chúng tôi đã giới thiệu cho các bạn về tấn công giả mạo ARP cache, giả mạo DNS. Như những gì chúng tôi đã giới thiệu trong các ví dụ đó, các tấn công MITM ra rất hiệu quả và rất khó bị phát hiện. Tuy nhiên trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu thêm cho các bạn một cách tấn công mới, đó là tấn công chiếm quyền điều khiển session. Cũng như trong hai phần trước, chúng tôi sẽ giới thiệu một số lý thuyết và cách thức thực hiện tấn công cũng như cách phát hiện và biện pháp phòng chống.

Chiếm quyền điều khiển Session

Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi đề cập đến một session, chúng ta sẽ nói về kết nối giữa các thiết bị mà trong đó có trạng thái đàm thoại được thiết lập khi kết nối chính thức được tạo, kết nối này được duy trì và phải sử dụng một quá trình nào đó để ngắt nó. Khi nói về các session, lý thuyết có đôi chút lộn xộn, chính vì vậy chúng ta hãy xem xét một session theo một cảm nhận thực tế hơn.

Trong bài này chúng tôi sẽ giới thiệu cho các bạn về hành động chiếm quyền điều khiển session có liên quan đến các session HTTP. Nếu để ý một số website mà bạn truy cập có yêu cầu thông tin đăng nhập thì chúng chính là các ví dụ tuyệt vời cho các kết nối hướng session. Bạn phải được thẩm định bởi website bằng username và password để thiết lập session, sau đó website sẽ duy trì một số hình thức kiểm tra session để bảo đảm bạn vẫn được đăng nhập và được phép truy cập tài nguyên (thường được thực hiện bằng một cookie), khi session kết thúc, các chứng chỉ username và password sẽ được xóa bỏ và đó cũng là khi session hết hiệu lực. Đây là một ví dụ cụ thể về session mà mặc dù chúng ta không phải lúc nào cũng nhận ra nó, các session sẽ xuất hiện liên tục và hầu hết sự truyền thông đều dựa vào một số hình thức của session hoặc hành động dựa trên trạng thái.

Hình 1: Một Session bình thường

Như những gì chúng ta thấy trong các tấn công trước, không có thứ gì khi đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn phía sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dùng để thiết lập một session, khi đó bạn có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session. Ví dụ trên của chúng tôi có nghĩa rằng nếu chúng ta capture cookie được sử dụng để duy trì trạng thái session giữa trình duyệt của bạn và website mà bạn đang đăng nhập vào, thì chúng ta có thể trình cookie đó với máy chủ web và thủ vai kết nối của bạn. Đứng trên quan điểm của những kẻ tấn công thì điều này quả là thú vị.

Hình 2: Chiếm quyền điều khiển

Giờ đây chúng ta đã có một chút lý thuyết, hãy đi tìm hiểu sâu một ví dụ thực tế.

Đánh cắp Cookies bằng Hamster và Ferret

Trong kịch bản thực tiễn của mà chúng tôi đưa ra, chúng ta sẽ thực hiện một tấn công chiếm quyền điều khiển session bằng cách chặn sự truyền thông của một người dùng đang đăng nhập vào tài khoản Gmail của anh ta. Sử dụng sự truyền thông bị chặn này, chúng ta sẽ thủ vai người dùng đó và truy cập vào tài khoản từ máy tính đang tấn công của mình.

Để thực hiện được tấn công này, chúng ta sẽ sử dụng hai công cụ có tên Hamster và Ferret. Bạn có thể download cả hai công cụ này tại đây.

Ngoài ra bạn có thể download và sử dụng Backtrack 4. BT4 là một phân phối live-CD của Linux, được thiết kế chuyên cho việc hack và test quá trình thâm nhập bởi các công cụ đã được biên dịch và cài đặt trước, Hamster/Ferret là hai trong số đó. Bạn có thể download BT4 tại đây. Sau đó sẽ tìm Hamster trong thư mục /pentest/sniffers/hamster. Các hình ảnh ví dụ được sử dụng trong phần dưới của hướng dẫn này được lấy từ BT4.

Bước đầu tiên có liên quan đến trong hình thức chiếm quyền điều khiển session này là capture lưu lượng của một người dùng là nạn nhân khi anh ta duyệt Facebook. Lưu lượng này có thể được capture bằng bất cứ ứng dụng “đánh hơi” dữ liệu nào, chẳng hạn như TCPDump hoặc Wireshark, tuy nhiên để capture đúng các gói dữ liệu, bạn sẽ cần sử dụng kỹ thuật như giả mạo ARP cache (đã được giới thiệu trong phần đầu tiên của loạt bài này).

Hình 3: Capture lưu lượng người dùng đang duyệt Gmail

Khi đã capture lưu lượng của nạn nhân khi người này đang duyệt đến Gmail, bạn cần lưu file đã capture vào thư mục Hamster. Với mục đích ví dụ, chúng tôi đã đặt tên file là victim_gmail.pcap. Khi file đó được đặt đúng chỗ, chúng ta sẽ sử dụng Ferret để xử lý file. Điều này được thực hiện bằng cách duyệt đến thư mục Hamster và chạy lệnh, ferret –r victim_gmail.pcap. Ferret sẽ xử lý file và tạo một file hamster.txt có thể được sử dụng bởi Hamster để chiếm quyền điều khiển một session.

Hình 4: Xử lý file capture bằng Ferret

Với dữ liệu HTTP đã chặn và đã chuẩn bị để sử dụng, chúng ta có thể sử dụng Hamster để thực thi tấn công. Bản thân Hamster sẽ làm việc như một proxy để cung cấp giao diện cho việc duyệt và sử dụng các session cookie đánh cắp. Để bắt đầu Hamster proxy, bạn có thể thực thi Hamster mà không cần các tùy chọn dòng lệnh.

Hình 5: Khởi chạy Hamster

Khi thực thi, bạn cần mở trình duyệt của mình và cấu hình các thiết lập proxy của nó sao cho tương ứng với các thiết lập được cung cấp bởi đầu ra Hamster. Mặc định, điều này có nghĩa bạn sẽ cấu hình các thiết lập proxy của mình để sử dụng địa chỉ loopback nội bộ 127.0.0.1 trên cổng 1234. Bạn có thể truy cập các thiết lập này trong Internet Explorer bằng cách chọn Tools, Internet Options, Connections, LAN Settings, và tích vào hộp kiểm “Use a proxy server for your LAN”.

Hình 6: Cấu hình các thiết lập proxy để sử dụng với Hamster

Lúc này các thiết lập proxy sẽ được sử dụng và bạn có thể truy cập giao diện điều khiển Hamster trong trình duyệt của mình bằng cách duyệt đến http://hamster. Hamster sẽ sử dụng file được tạo bởi Ferret để tạo danh sách các địa chỉ IP cho người mà thông tin session của họ bị chặn và hiển thị các địa chỉ IP đó ở panel bên phải trình duyệt. File mà chúng ta tạo chỉ chứa một địa chỉ IP của nạn nhân, vì vậy nếu kích vào panel bên trái, chúng ta sẽ populate (định cư) các session cho việc chiếm quyền.

Hình 7: Hamster GUI

Chúng ta sẽ thấy facebook.com được liệt kê ở đây, nếu kích vào liên kết đó, bạn sẽ thấy một cửa sổ mới đã đăng nhập vào tài khoản Facebook nạn nhân!

Hình 8: Chiếm quyền điều khiển thành công một tài khoản Gmail

Cách chống tấn công chiếm quyền điều khiển Session

Do có nhiều hình thức chiếm quyền điều khiển session khác nhau nên cách thức phòng chống cũng cần thay đổi theo chúng. Giống như các tấn công MITM khác mà chúng ta đã đánh giá, tấn công chiếm quyền điều khiển session khó phát hiện và thậm chí còn khó khăn hơn trong việc phòng chống vì nó phần lớn là tấn công thụ động. Trừ khi người dùng mã độc thực hiện một số hành động rõ ràng khi anh ta truy cập session đang bị chiếm quyền điều khiển, bằng không bạn có thể sẽ không bao giờ biết tấn công đó đang diễn ra. Đây là một số thứ mà bạn có thể thực hiện để phòng chống tấn công này:

Kết luận

Cho đến đây chúng tôi đã giới thiệu cho các bạn ba kiểu tấn công MITM rất nguy hiểm có thể gây ra những hậu quả nghiêm trọng nếu chúng được thực hiện thành công. Các bạn cần phải biết rằng, sử dụng kiểu tấn công chiếm quyền điều khiển session, kẻ tấn công với những ý định xấu có thể truy cập vào tài khoản ngân hàng trực tuyến, email của người dùng hoặc thậm chí cả các ứng dụng nhậy cảm trong mạng nội bộ. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một tấn công MITM nguy hiểm khác, giả mạo SSL.

Source: quantrimang.com.vn

Cupertino, CA — February 24, 2010 — Zend Technologies, the PHP Company, today announced the general availability of Zend Server 5.0, a major new version of the company’s PHP Web application server. New Code Tracing technology in Zend Server 5.0 enables PHP developers and administrators to slash problem resolution time by up to 50%. For the first time, users have visibility into the behavior of their code in production environments, with the ability to pinpoint the root cause of application issues quickly and eliminate the time-consuming and sometimes near impossible task of recreating problems in order to resolve them.

“Zend Server 5.0 is a huge step forward for businesses running business-critical PHP Web applications,” said Andi Gutmans, CEO and co-founder at Zend. “With this new version we are delivering application monitoring and diagnostics as part of the base application server at no additional cost. The new Code Tracing technology revolutionizes how businesses can reduce time spent on problem resolution. This and other enhancements will help businesses deliver reliable high-performance applications and maximize end-user satisfaction while reducing development and management time and costs.”

With this in mind, the need for businesses to talk to international customers in their own language can’t be overstated. Even though English is the most widely spoken second language, the fact remains that most consumers will search for products or services in their native tongue first.

So for any business looking to go global and tackle new or emerging markets, the need to ‘think local’ means you should be aware of the multitude of cultural and linguistic complexities that you will face when entering foreign markets.

For example, the French in France and the French in Canada (Québéquois) is largely the same, but there are enough dialectal differences between the two forms of French to mean that distinct marketing strategies are essential when targeting each market.

“Visual WebGui turns web dreams into reality in a very gracious way while Automato makes it even more powerful… No any other ASP.NET framework does it for you” Alexnaldo Santos

Overview

SISMONT Ltda. creates ERP systems in Brazil since 2003 on Windows platform only. Since 2004 the company targets all the systems it designs for the Web platform.

The Automato project was born to integrate different business applications using single development tool, allowing total customization for customers.

The company already offers its accounting system on a Web platform with a competitive production cost thanks to Automato and Visual WebGui. Until the end of 2010, all of SISMONT’s systems will also be offered on Web platform, significantly increasing their potential performance in Brazil.

The price fluctuation is visualized with a line type chart and data will be fetched from database every 5 seconds using Ajax call and then display the latest 5 (five) data to the chart without any page refresh. We assume you already familiar with deploying the FusionCharts Free and have experience using prototype.js, since we don’t explain every details of the tools we used in this article. Please refer to FusionCharts Free documentation about deploying the chart and prototype.js documentation about the usage of the library.

Let’s do it

1. You have to download the FusionCharts Free version, extract it, and copy the chart FCF_Line.swf (from the Chart folder) to your web root folder.
2. Copy FusionCharts.js (from JSClass folder) to your web root folder.
3. Download prototype.js from www.prototypejs.org and save it as prototype.js on your web root folder. We will use prototype.js to do the Ajax call.
4. Now prepare the table to store the fictional price fluctuation. Here is the simple table structure. We only need 2 (two) fields.

Latest version of leading e-commerce solution launched in 2001 adds exciting features, new marketing tools and PCI compliant hosting services with free e-commerce support.

Key software improvements include:

- Built-in CMS (Content Management System) with WYSIWYG editor
- Advanced customer reviews and product ratings
- Advanced newsletter management
- Affiliate tracking