blog hacking [duc kennys]

Unknown

T?ng h?p m?t s? th? m� t? �ang d�ng

Nhi?u b?n th�?ng xuy�n h?i tr�n page Juno_okyo's Blog, c� b?n g?i c? email cho t? �? h?i n?a n�n t? vi?t b�i tr? l?i chung lu�n v? nh?ng ph?n m?m so?n th?o, giao di?n tr?nh duy?t, giao di?n cho Windows m� t? �ang d�ng.

1. Giao di?n Windows

T? �ang d�ng Nordstrom - m?t giao di?n d�nh cho Windows 7, th�ch h?p cho b?n n�o th�ch th? lo?i giao di?n trong su?t (Aero). H�n n?a ��y l?i l� m?t theme do ng�?i Vi?t thi?t k? n�n m?nh kh� th�ch! Giao di?n n�y ��?c ��nh gi� kh� cao tr�n deviantart.com - m?t c?ng �?ng l?n v? thi?t k? v� ngh? thu?t.

Nordstrom Windows 7 theme

T?i giao di?n Nordstrom t?i ��y: http://minhtrimatrix.deviantart.com/art/Nordstrom-163987072

2. Giao di?n tr?nh duy?t Firefox

FT Deepdark l� giao di?n t? �ang d�ng cho tr?nh duy?t Firefox c?a m?nh. ��y l� m?t giao di?n t?i m�u, th�ch h?p v?i nh?ng b?n th�ch m�u �en v� mu?n t?p trung v�o n?i dung c?a trang web (gi?ng nh� khi �i xem phim th? r?p t?t h?t ��n �? ng�?i xem t?p trung v�o m�n h?nh chi?u ?).

FT Deepdark - Best theme for Firefox

��y c?ng l� giao di?n c� s? ng�?i d�ng v� l�?t ��nh gi� 5 sao nhi?u nh?t tr�n Firefox, v?i h�n 200 ngh?n ng�?i d�ng - g?p ��i so v?i giao di?n �?ng th? 2 v� tr�n 500 l�?t ��nh gi�.

B?n c� th? c�i �?t giao di?n n�y cho Firefox t?i ��y: https://addons.mozilla.org/en-us/firefox/addon/ft-deepdark/

3. Tr?nh so?n th?o m? ngu?n

T? �ang d�ng c? tr?nh so?n th?o l� Notepad++ v� Sublime Text (phi�n b?n 3). Notepad++ th? th�ch h?p cho vi?c m? v� �?c nh?ng t?p tin m? ngu?n ri�ng l? v? n� kh?i �?ng nhanh, c?n t? th�ch d�ng Sublime Text cho nh?ng d? �n v? n� c� thanh qu?n l? t?p tin theo c?u tr�c th� m?c kh� d? nh?n, th? hai l� Sublime Text c� r?t nhi?u plugin hay v� h?u �ch gi�p vi?c l?p tr?nh nhanh ch�ng v� ti?n l?i. Ngo�i ra th? tr�?c ��y t? c� d�ng IDE l� PHPDesigner th?y c?ng r?t t?t!

About Juno_okyo

B?n c� th? c�i �?t hai tr?nh so?n th?o n�y t?i ��y:

Ngo�i ra, m?t s? b?n hay h?i v? giao di?n SublimeText m� t? �ang d�ng, t�n n� l� Seti_UI nh�.

T?m th?i v?y �?, c�c b?n mu?n h?i th�m th? b?nh lu?n ? d�?i nh�, c?m �n v? �? quan t�m!

Unknown Pada 03:44 Komentar

Unknown

Facebook Vulnerability Leaks Users' Private Photos

Security

N?u b?n �? k�ch ho?t t�nh n�ng Facebook Photo Sync t? �?ng tr�n c�c thi?t b? iPhone, iPad ho?c Android c?a b?n, H?y coi ch?ng! Tin t?c c� th? �n c?p h?nh ?nh c� nh�n c?a b?n m� b?n kh�ng bi?t.

Nh?ng h?nh ?nh m� b?n �? �?ng b? h�a t? �i?n tho?i c?a b?n s? t? �?ng ��?c t?i l�n trong m?t album Facebook c� nh�n, m�b?n b� Facebook c?a b?n ho?c nh?ng ng�?i d�ng Facebook kh�c kh�ng th? nh?n th?y. Tuy nhi�n, b?n c� th? ch?n �? chia s? h?nh ?nh t? c�c album tr�n timeline Facebook c?a b?n ho?c g?i ch�ng d�?i d?ng tin nh?n cho b?n b�.

Nh� ngi�n c?u b?o m?t Laxman Muthiyah, �? ph�t hi?n ra m?t l? h?ng nghi�m tr?ng trong c�c t�nh n�ng c?a Facebook Photo Sync v� Facebook API c� th? cho ph�p b?t k? ?ng d?ng n�o c?a b�n th? ba truy c?p h?nh ?nh c� nh�n c?a b?n t? Facebook Photo Sync album ?n.

Trong m?t b�i vi?t tr�n blog ��?c xu?t b?n ng�y h�m nay, Laxman gi?i th�ch r?ng l? h?ng n�y n?m trong c� ch? �u �?i m� c�c ?ng d?ng n�o ��?c ph�p truy c?p h?nh ?nh �?ng b? s? d?ng vaultimages API.

"C�c ph?n d? b? t?n th��ng, n� ch? c?n ki?m tra c�c ch? s? h?u c?a c�c access token v� kh�ng ph?i l� ?ng d?ng ��?c l�m theo y�u c?u. V? v?y, n� cho ph�p b?t k? ?ng d?ng v?i user_photos ph�p �?c h?nh ?nh �i?n tho?i di �?ng c?a b?n," Laxman �? vi?t trong m?t b�i ��ng blog.

V? m?t k? thu?t, �?ng b? ho� album ?nh c� nh�n ch? c� th? truy c?p b?ng ?ng d?ng ch�nh th?c c?a Facebook, nh�ng l? h?ng n�y cho ph�p b?t k? ?ng d?ng n�o c?a b�n th? 3 c?ng c� th? �?c ��?c h?nh ?nh c� nh�n c?a b?n.

Laxman c�ng b? tr�?c �� m?t l? h?ng trong c� ch? Facebook Graph API cho ph�p �ng �? x�a b?t k? album ?nh tr�n Facebook thu?c s? h?u c?a b?t c? ng�?i n�o, b?t k? trang n�o ho?c b?t k? nh�m n�o.

L�M TH? N�O �? V� HI?U AUTO-SYNC

M?c d�, Facebook �? v� l? h?ng ��?c b�o c�o b?i Laxman v� th�?ng cho �ng $10,000, ng�?i d�ng Facebook n�n t?t t�nh n�ng Facebook Photo Sync �? ��?c ? b�n an to�n h�n.

�? l�m nh� v?y, ch? c?n v�o ?ng d?ng di �?ng Facebook , di chuy?n xu?ng v� ch?n Account> App Settings> Sync Photos, sau �� Ch?n '�?ng �?ng b? h?nh ?nh c?a t�i.'

Ngu?n b�i vi?t: http://vansan.name.vn/threads/128-facebook-dinh-loi-do-ri-anh-ca-nhan-cua-nguoi-dung.html#ixzz3V5V5T0K7

Unknown Pada 22:02 Komentar

Unknown

Facebook Vulnerability Leaks Users' Private Photos

Security

Nếu bạn đã kích hoạt tính năng Facebook Photo Sync tự động trên các thiết bị iPhone, iPad hoặc Android của bạn, Hãy coi chừng! Tin tặc có thể ăn cắp hình ảnh cá nhân của bạn mà bạn không biết.

Những hình ảnh mà bạn đã đồng bộ hóa từ điện thoại của bạn sẽ tự động được tải lên trong một album Facebook cá nhân, màbạn bè Facebook của bạn hoặc những người dùng Facebook khác không thể nhìn thấy. Tuy nhiên, bạn có thể chọn để chia sẻ hình ảnh từ các album trên timeline Facebook của bạn hoặc gửi chúng dưới dạng tin nhắn cho bạn bè.

Nhà ngiên cứu bảo mật Laxman Muthiyah, đã phát hiện ra một lỗ hổng nghiêm trọng trong các tính năng của Facebook Photo Sync và Facebook API có thể cho phép bất kỳ ứng dụng nào của bên thứ ba truy cập hình ảnh cá nhân của bạn từ Facebook Photo Sync album ẩn.

Trong một bài viết trên blog được xuất bản ngày hôm nay, Laxman giải thích rằng lỗ hổng này nằm trong cơ chế ưu đãi mà các ứng dụng nào được phép truy cập hình ảnh đồng bộ sử dụng vaultimages API.

"Các phần dễ bị tổn thương, nó chỉ cần kiểm tra các chủ sở hữu của các access token và không phải là ứng dụng được làm theo yêu cầu. Vì vậy, nó cho phép bất kỳ ứng dụng với user_photos phép đọc hình ảnh điện thoại di động của bạn," Laxman đã viết trong một bài đăng blog.

Về mặt kỹ thuật, đồng bộ hoá album ảnh cá nhân chỉ có thể truy cập bằng ứng dụng chính thức của Facebook, nhưng lỗ hổng này cho phép bất kỳ ứng dụng nào của bên thứ 3 cũng có thể đọc được hình ảnh cá nhân của bạn.

Laxman công bố trước đó một lỗ hổng trong cơ chế Facebook Graph API cho phép ông để xóa bất kỳ album ảnh trên Facebook thuộc sở hữu của bất cứ người nào, bất kỳ trang nào hoặc bất kỳ nhóm nào.

LÀM THẾ NÀO ĐỂ VÔ HIỆU AUTO-SYNC

Mặc dù, Facebook đã vá lỗ hổng được báo cáo bởi Laxman và thưởng cho ông $10,000, người dùng Facebook nên tắt tính năng Facebook Photo Sync để được ở bên an toàn hơn.

Để làm như vậy, chỉ cần vào ứng dụng di động Facebook , di chuyển xuống và chọn Account> App Settings> Sync Photos, sau đó Chọn 'Đừng đồng bộ hình ảnh của tôi.'

Nguồn bài viết: http://vansan.name.vn/threads/128-facebook-dinh-loi-do-ri-anh-ca-nhan-cua-nguoi-dung.html#ixzz3V5V5T0K7

Unknown Pada 22:02 Komentar

Unknown

Drupal c?p nh?t b?n v� l?i b?o m?t Password-Reset

Security

Drupal, m?t trong nh?ng m? ngu?n m? h? th?ng qu?n l? n?i dung ��?c s? d?ng r?ng r?i �? khuy?n c�o ng�?i s? d?ng c?p nh?t ph?n m?m c?a h? l�n c�c phi�n b?n m?i nh?t 6.35 v� 7,35 sau khi c�ng ty �? ph�t hi?n hai l? h?ng quan tr?ng c� th? cho ph�p k? t?n c�ng hack c�c trang web Drupal.

Theo m?t c? v?n an ninh, m?t l? h?ng t?m th?y trong Drupal c� th? cho ph�p m?t hacker ti?m n�ng trong nh?ng ho�n c?nh nh?t �?nh v�?t qua nh?ng h?n ch? b?o m?t b?ng c�ch bypass reset pasword.

ACCESS BYPASS / PASSWORD RESET URLs d? b? t?n th��ng, c�c hacker c� th? bypass v� truy c?p tr�i ph�p v�o t�i kho?n ng�?i d�ng m� kh�ng c?n m?t kh?u.

L? h?ng n�y kh� nguy hi?m, trong �� k? t?n c�ng c� th? l?a ng�?i d�ng website, qu?n tr? vi�n website v� tung ra 1 URL �?c h?i �? ki?m so�t c�c m�y ch?.

V?n �? th?c s? nghi�m tr?ng v? Drupal ��?c s? d?ng kh� ph? bi?n tr�n th? gi?i. Ch�nh v? v?y Drupal �? ph�t h�nh phi�n b?n v� l?i ngay l?p t?c.

Khuy?n c�o

- Nh� ph�t h�nh Drupal khuy?n c�o ng�?i s? d?ng c?p nh�t l�n phi�n b?n m?i nh?t l� Drupal core 6.35 v� Drupal core 7,35
- Ch?y t?t c? c�c ph?n m?m nh� l� m?t ng�?i d�ng kh�ng c� �?c quy?n (kh�ng c� quy?n qu?n tr?) �? gi?m b?t nh?ng ?nh h�?ng c?a m?t cu?c t?n c�ng.
- Kh�ng b?m v�o c�c li�n k?t t? c�c ngu?n kh�ng r?.
- Kh�ng n�n m? file ��nh k�m email t? c�c ngu?n kh�ng r? ho?c kh�ng tin c?y.
- Xem x�t vi?c th?c hi?n danh s�ch cho ph�p m? r?ng t?p tin cho ph�p file ��nh k�m e-mail.

Ngu?n: http://vansan.name.vn/threads/127-drupal-cap-nhat-ban-va-loi-bao-mat-password-reset.html

Unknown Pada 21:13 Komentar

Unknown

Drupal cập nhật bản vá lỗi bảo mật Password-Reset

Security

Drupal, một trong những mã nguồn mở hệ thống quản lý nội dung được sử dụng rộng rãi đã khuyến cáo người sử dụng cập nhật phần mềm của họ lên các phiên bản mới nhất 6.35 và 7,35 sau khi công ty đã phát hiện hai lỗ hổng quan trọng có thể cho phép kẻ tấn công hack các trang web Drupal.

Theo một cố vấn an ninh, một lỗ hổng tìm thấy trong Drupal có thể cho phép một hacker tiềm năng trong những hoàn cảnh nhất định vượt qua những hạn chế bảo mật bằng cách bypass reset pasword.

ACCESS BYPASS / PASSWORD RESET URLs dễ bị tổn thương, các hacker có thể bypass và truy cập trái phép vào tài khoản người dùng mà không cần mật khẩu.

Lỗ hổng này khá nguy hiểm, trong đó kẻ tấn công có thể lừa người dùng website, quản trị viên website và tung ra 1 URL độc hại để kiểm soát các máy chủ.

Vấn đề thực sự nghiêm trọng vì Drupal được sự dụng khá phổ biến trên thế giới. Chính vì vậy Drupal đã phát hành phiên bản vá lỗi ngay lập tức.

Khuyến cáo

- Nhà phát hành Drupal khuyến cáo người sử dụng cập nhât lên phiên bản mới nhất là Drupal core 6.35 và Drupal core 7,35
- Chạy tất cả các phần mềm như là một người dùng không có đặc quyền (không có quyền quản trị) để giảm bớt những ảnh hưởng của một cuộc tấn công.
- Không bấm vào các liên kết từ các nguồn không rõ.
- Không nên mở file đính kèm email từ các nguồn không rõ hoặc không tin cậy.
- Xem xét việc thực hiện danh sách cho phép mở rộng tập tin cho phép file đính kèm e-mail.

Nguồn: http://vansan.name.vn/threads/127-drupal-cap-nhat-ban-va-loi-bao-mat-password-reset.html

Unknown Pada 21:13 Komentar

Unknown

WordPress Plugin 'Google Analytics by Yoast' c?p nh?t b?n v� l?i b?o m?t

Security

M?t wordpress plugins kh� ph? bi?n ��?c ph�t h�nh b?i Yoast �? ��?c ph�t hi?n c� m?t l?i b?o m?t kh� nghi�m tr?ng c� th? b? tin t?c l?i d?ng �? chi?m quy?n �i?u khi?n website.

C�c l? h?ng nghi�m tr?ng ��?c ph�t hi?n trong plugins 'Google Analytics by Yoast' tr? gi�p qu?n tr? vi�n theo d?i l�u l�?ng truy c?p trang web b?ng c�ch k?t n?i �?n t�i kho?n Google Analytics c?a h?.
Google Analytics b?i Yoast WordPress plugin �? ��?c t?i v? g?n 7 tri?u l?n v?i h�n 1 tri?u l�?t c�i �?t, khi?n cho ?nh h�?ng c?a bug kh� nghi�m tr?ng.

Plugins 'Google Analytics by Yoast' d�nh l?i b?o m?t cross-site scripting (XSS) l? h?ng cho ph�p tin t?c th?c thi m? PHP �?c h?i tr�n m�y ch? �? chi?m quy?n t�i kho?n qu?n tr? vi�n. M? �?c h?i n�y c� th? ��?c k�ch ho?t khi qu?n tr? vi�n ch? xem c�c c�i �?t Plugin 'Google Analytics by Yoast'. T?t c? �i?u n�y c� th? ��?c th?c hi?n th�nh c�ng m� kh�ng c?n y�u c?u x�c th?c.

Jouko Pynn�nen - c�ng ty IT Ph?n Lan Klikki Oy �? ph�t hi?n v� c�ng b? l? h?ng, trong ��,v� Yoast �? ph�t h�nh b?n v� l?i ngay sau m?t ng�y.

Hi?n t?i Yoast �? ph�t h�nh phi�n b?n 5.3.3 �? v� l? h?ng b?o m?t nguy hi?m n�y. C�c b?n c� th? c?p nh?t plugins t?i ��y

DOWNLOAD PLUGIN

Ngu?n: http://vansan.name.vn/threads/126-Wordpress-plugin-google-analytics-by-yoast-cap-nhat-ban-va-loi.html

Unknown Pada 20:59 Komentar

Unknown

WordPress Plugin 'Google Analytics by Yoast' cập nhật bản vá lỗi bảo mật

Security

Một wordpress plugins khá phổ biến được phát hành bới Yoast đã được phát hiện có một lỗi bảo mật khá nghiêm trọng có thể bị tin tặc lợi dụng để chiếm quyền điều khiển website.

Các lỗ hổng nghiêm trọng được phát hiện trong plugins 'Google Analytics by Yoast' trợ giúp quản trị viên theo dõi lưu lượng truy cập trang web bằng cách kết nối đến tài khoản Google Analytics của họ.
Google Analytics bởi Yoast WordPress plugin đã được tải về gần 7 triệu lần với hơn 1 triệu lượt cài đặt, khiến cho ảnh hưởng của bug khá nghiêm trọng.

Plugins 'Google Analytics by Yoast' dính lỗi bảo mật cross-site scripting (XSS) lỗ hổng cho phép tin tặc thực thi mã PHP độc hại trên máy chủ để chiểm quyền tài khoản quản trị viên. Mã độc hại này có thể được kích hoạt khi quản trị viên chỉ xem các cài đặt Plugin 'Google Analytics by Yoast'. Tất cả điều này có thể được thực hiện thành công mà không cần yêu cầu xác thực.

Jouko Pynnönen - công ty IT Phần Lan Klikki Oy đã phát hiện và công bố lỗ hổng, trong đó,và Yoast đã phát hành bản vá lỗi ngay sau một ngày.

Hiện tại Yoast đã phát hành phiên bản 5.3.3 để vá lỗ hổng bảo mật nguy hiểm này. Các bạn có thể cập nhật plugins tại đây

DOWNLOAD PLUGIN

Nguồn: http://vansan.name.vn/threads/126-Wordpress-plugin-google-analytics-by-yoast-cap-nhat-ban-va-loi.html

Unknown Pada 20:59 Komentar

Unknown

Adobe Flash Player c?p nh?t phi�n b?n m?i v� 11 l? h?ng b?o m?t quan tr?ng

Security

Adobe �? tung ra m?t b?n c?p nh?t cho ph?n m?m Flash Player v� 11 l? h?ng b?o m?t nghi�m tr?ng , h?u h?t trong s? �� c� kh? n�ng cho ph�p tin t?c th?c thi m? t�y ? t? xa v�o h? th?ng.

PH?N M?M B? ?NH H�?NG

T?t c? c�c phi�n b?n tr�?c phi�n b?n m?i nh?t 17.0.0.134 c?a Flash Player b? ?nh h�?ng tr�n c�c m�y Windows v� Mac OS X. Do ��, Adobe Flash Player ��?c c�i �?t v?i Google Chrome, c?ng nh� Internet Explorer 10 v� 11 tr�n Windows 8 v� Windows 8.1, s? t? �?ng c?p nh?t phi�n b?n m?i nh?t 17.0.0.134.

Ngo�i ra, Adobe Flash Player 11.2.202.442 cho Linux v� Flash Player Extended Support phi�n b?n 13.0.0.269 cho Windows v� Mac OS X c?ng b? ?nh h�?ng b?i nh?ng l? h?ng n�y.V? v?y, ng�?i s? d?ng Flash Player tr�n Linux n�n c?p nh?t l�n phi�n b?n 11.2.202.451 v� Flash Player Extended Support tr�n Windows v� Mac ��?c khuy?n c�o c?p nh?t l�n phi�n b?n 13.0.0.277.

Unknown Pada 00:27 Komentar

Unknown

Adobe Flash Player cập nhật phiên bản mới vá 11 lỗ hổng bảo mật quan trọng

Security

Adobe đã tung ra một bản cập nhật cho phần mềm Flash Player vá 11 lỗ hổng bảo mật nghiêm trọng , hầu hết trong số đó có khả năng cho phép tin tặc thực thi mã tùy ý từ xa vào hệ thống.

PHẦN MỀM BỊ ẢNH HƯỞNG

Tất cả các phiên bản trước phiên bản mới nhất 17.0.0.134 của Flash Player bị ảnh hưởng trên các máy Windows và Mac OS X. Do đó, Adobe Flash Player được cài đặt với Google Chrome, cũng như Internet Explorer 10 và 11 trên Windows 8 và Windows 8.1, sẽ tự động cập nhật phiên bản mới nhất 17.0.0.134.

Ngoài ra, Adobe Flash Player 11.2.202.442 cho Linux và Flash Player Extended Support phiên bản 13.0.0.269 cho Windows và Mac OS X cũng bị ảnh hưởng bởi những lỗ hổng này.Vì vậy, người sử dụng Flash Player trên Linux nên cập nhật lên phiên bản 11.2.202.451 và Flash Player Extended Support trên Windows và Mac được khuyến cáo cập nhật lên phiên bản 13.0.0.277.

Unknown Pada 00:27 Komentar

Unknown

Potential vBSEO vulnerability

Security

It has come to our attention that there may be a potential security vulnerability in VBSEO affecting the latest version of the software (and potentially other versions as well). We've attempted to contact the vendor, but as they have been non-responsive we felt we should alert the community as many of our customers use this add-on software.

If you think you might be running a vulnerable version of the software, there is a simple fix: just comment out the following lines in the file vbseo/includes/functions_vbseo_hook.php:

if(isset($_REQUEST['ajax']) && isset($_SERVER['HTTP_REFERER']))
$permalinkurl = $_SERVER['HTTP_REFERER'].$permalinkurl;

should be changed to:

// if(isset($_REQUEST['ajax']) && isset($_SERVER['HTTP_REFERER']))
// $permalinkurl = $_SERVER['HTTP_REFERER'].$permalinkurl;

If you are running the "Suspect File Versions" diagnostics tool, you will additionally need to generate a new MD5 sum of the above file and edit upload/includes/md5_sums_crawlability_vbseo.php to use the new MD5 sum on the line:

'functions_vbseo_hook.php' => 'NEW MD5 SUM GOES HERE',

Please be aware that you are making these changes at your own risk. We don't know if making this change affects the terms of your VBSEO license and we can't be responsible if making this change breaks your site.

Read more: http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4261146-potential-vbseo-vulnerability

Unknown Pada 01:02 Komentar

Unknown

vBulletin Forum v4.2.2 Patch Level 4 NULLED PHP-ECHO

Code

DOWNLOAD

Pass unrar: quylevhb.blogspot.com

___________________________________        _________________/\
|           | |            \       \      /                   \ /\
|           | |             \      |      |     /     ____     \/ /
|      _____| |         _____\     |______|     |    /    \      /
|      \_____ \         |                       |    |    |      \
|            \ \        |                       |    |    |      /
|        _____\ \       |_____      ______      |    \____/     |
|       /______ /            /     |      |     \               ||
|             /__\           /      |      |      ______________ //
|___________________________/       |      \_____/    __________///
   \________________________         |        \_______/////////////
     \______________________\________/          \_____\\\\\\\\\\\\\
     /                                       ______/
     > </ R E L E A S E I N F O >        ____/
     \_______________________    ____________/
      ______________________/    \_____________________________________________
     /                                                                         \

       SCRiPT......: VBulletin.Solutions.vBulletin.Forum.v4.2.2.Patch.Level.4.NULLED.PHP-ECHO
       URL.........: http://www.vbulletin.com/
       PROTECTiON..: N/A
       SUPPLiED BY.: FRiEND
       RELEASE DATE: 17-02-2015

     \__                                            ___________________________/
     /                                       ______/
     > </ D E S C R I P T I O N >         ____/
     \_______________________    ____________/
      ______________________/    \_____________________________________________
     /                                                                         \

       vBulletin (vB) is a proprietary Internet forum software produced by
       Jelsoft Enterprises and vBulletin Solutions.

     \__                                            ___________________________/
     /                                       ______/
     > </ I N S T A L L A T I O N >       ____/
     \_______________________    ____________/
      ______________________/    \_____________________________________________
     /                                                                         \

       1. Extract the zip files to a folder on your computer.
       2. Read the vb4_readme.html.

     \__                                            ___________________________/
     /                                       ______/
     > </ C O N T A C T >                 ____/
     \_______________________    ____________/
      ______________________/    \_____________________________________________
     /                                                                         \

       MAiL:..........: team.echo@openmailbox.org
       Home:..........: http://teamecho.rocks/

     \__                                            ___________________________/
     /                                       ______/
     > </ G R E E T I N G S >             ____/
     \_______________________    ____________/
      ______________________/    \_____________________________________________
     /                                                                         \

       ECHO sends GREETS to:
       All groups and people working hard, who bring quality releases...

      __                                                                      __
     /_/\                ____________________                                /\_\
     \_\/ _______      /            __   __ \                   by xsp!d3r \/_/
      \   /_     /     /_____          \ / \/        _________________________/
       \ / /     \    /    / \__/\_____/ \___________/
        ;-/_     /   / __/
            \/\ /   / /
               \\ /__/
                \\/_/
                 \/

Unknown Pada 00:53 Komentar

Unknown

'WordPress SEO by Yoast' Plugin Vulnerability Affects Millions

Security

A critical vulnerability has been discovered in the most popular plugin of the wordpress content management platform (CMS) that puts tens of Millions of websites at risks of being hacked by the attackers.

The vulnerability actually resides in most versions of a WordPress plugin known as �WordPress SEO by Yoast,� which has more than 14 Million downloads according to Yoast website, making it one of the most popular plugins of WordPress for easily optimizing websites for search engines i.e Search engine optimization (SEO).

The vulnerability in WordPress SEO by Yoast has been discovered by Ryan Dewhurst, developer of the WordPress vulnerability scanner �WPScan�.

All the versions prior to 1.7.3.3 of �WordPress SEO by Yoast� are vulnerable to Blind SQL Injection web application flaw, according to an advisory published today.

SQL injection (SQLi) vulnerabilities are ranked as critical one because it could cause a database breach and lead to confidential information leakage. Basically in SQLi attack, an attacker inserts a malformed SQL query into an application via client-side input.

HOW YOAST VULNERABILITY WORKS

However, in this scenario, an outside hacker can�t trigger this vulnerability itself because the flaw actually resides in the 'admin/class-bulk-editor-list-table.php' file, which is authorized to be accessed by WordPress Admin, Editor or Author privileged users only.
Therefore, in order to successfully exploit this vulnerability, it is required to trigger the exploit from authorized users only. This can be achieved with the help of social engineering, where an attacker can trick authorized user to click on a specially crafted payload exploitable URL.
If the authorized WordPress user falls victim to the attack, this could allow the exploit to execute arbitrary SQL queries on the victim WordPress web site, Ryan explained to security blogger Graham Cluley.
Ryan also released a proof-of-concept payload of Blind SQL Injection vulnerability in �WordPress SEO by Yoast�, which is as follows:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

PATCH FOR YOAST SQLi VULNERABILITY

However, the vulnerability has reportedly been patched in the latest version of WordPress SEO by Yoast (1.7.4) by Yoast WordPress plugin developers, and change log mentions that latest version has "fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor."

Generally, it has been believed that if you have not installed WordPress Yoast for SEO, then your WordPress website is seriously incomplete. The vulnerability is really serious for website owners who wish to increase their search engine traffic by using this plugin.

Therefore, WordPress administrators with disabled Auto-update feature are recommended to upgrade their WordPress SEO by Yoast plugin as soon as possible or they can manually download the latest version from WordPress plugin repository.

If you have installed WordPress 3.7 version and above, then you can enable fully automate updating of your plugins and themes from Manage > Plugins & Themes > Auto Updates tab.

Ngu?n: thehackernews.com

A critical vulnerability has been discovered in the most popular plugin of the wordpress content management platform (CMS) that puts tens of Millions of websites at risks of being hacked by the attackers.

The vulnerability actually resides in most versions of a WordPress plugin known as �WordPress SEO by Yoast,� which has more than 14 Million downloads according to Yoast website, making it one of the most popular plugins of WordPress for easily optimizing websites for search engines i.e Search engine optimization (SEO).

The vulnerability in WordPress SEO by Yoast has been discovered by Ryan Dewhurst, developer of the WordPress vulnerability scanner �WPScan�.

All the versions prior to 1.7.3.3 of �WordPress SEO by Yoast� are vulnerable to Blind SQL Injection web application flaw, according to an advisory published today.

SQL injection (SQLi) vulnerabilities are ranked as critical one because it could cause a database breach and lead to confidential information leakage. Basically in SQLi attack, an attacker inserts a malformed SQL query into an application via client-side input.

HOW YOAST VULNERABILITY WORKS

However, in this scenario, an outside hacker can�t trigger this vulnerability itself because the flaw actually resides in the 'admin/class-bulk-editor-list-table.php' file, which is authorized to be accessed by WordPress Admin, Editor or Author privileged users only.

Therefore, in order to successfully exploit this vulnerability, it is required to trigger the exploit from authorized users only. This can be achieved with the help of social engineering, where an attacker can trick authorized user to click on a specially crafted payload exploitable URL.

If the authorized WordPress user falls victim to the attack, this could allow the exploit to execute arbitrary SQL queries on the victim WordPress web site, Ryan explained to security blogger Graham Cluley.

Ryan also released a proof-of-concept payload of Blind SQL Injection vulnerability in �WordPress SEO by Yoast�, which is as follows:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

PATCH FOR YOAST SQLi VULNERABILITY

However, the vulnerability has reportedly been patched in the latest version of WordPress SEO by Yoast (1.7.4) by Yoast WordPress plugin developers, and change log mentions that latest version has "fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor."

Generally, it has been believed that if you have not installed WordPress Yoast for SEO, then your WordPress website is seriously incomplete. The vulnerability is really serious for website owners who wish to increase their search engine traffic by using this plugin.

Therefore, WordPress administrators with disabled Auto-update feature are recommended to upgrade their WordPress SEO by Yoast plugin as soon as possible or they can manually download the latest version from WordPress plugin repository.

If you have installed WordPress 3.7 version and above, then you can enable fully automate updating of your plugins and themes from Manage > Plugins & Themes > Auto Updates tab.

A critical vulnerability has been discovered in the most popular plugin of the wordpress content management platform (CMS) that puts tens of Millions of websites at risks of being hacked by the attackers.

The vulnerability actually resides in most versions of a WordPress plugin known as �WordPress SEO by Yoast,� which has more than 14 Million downloads according to Yoast website, making it one of the most popular plugins of WordPress for easily optimizing websites for search engines i.e Search engine optimization (SEO).

The vulnerability in WordPress SEO by Yoast has been discovered by Ryan Dewhurst, developer of the WordPress vulnerability scanner �WPScan�.

All the versions prior to 1.7.3.3 of �WordPress SEO by Yoast� are vulnerable to Blind SQL Injection web application flaw, according to an advisory published today.

SQL injection (SQLi) vulnerabilities are ranked as critical one because it could cause a database breach and lead to confidential information leakage. Basically in SQLi attack, an attacker inserts a malformed SQL query into an application via client-side input.

HOW YOAST VULNERABILITY WORKS

However, in this scenario, an outside hacker can�t trigger this vulnerability itself because the flaw actually resides in the 'admin/class-bulk-editor-list-table.php' file, which is authorized to be accessed by WordPress Admin, Editor or Author privileged users only.

Therefore, in order to successfully exploit this vulnerability, it is required to trigger the exploit from authorized users only. This can be achieved with the help of social engineering, where an attacker can trick authorized user to click on a specially crafted payload exploitable URL.

If the authorized WordPress user falls victim to the attack, this could allow the exploit to execute arbitrary SQL queries on the victim WordPress web site, Ryan explained to security blogger Graham Cluley.

Ryan also released a proof-of-concept payload of Blind SQL Injection vulnerability in �WordPress SEO by Yoast�, which is as follows:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

PATCH FOR YOAST SQLi VULNERABILITY

However, the vulnerability has reportedly been patched in the latest version of WordPress SEO by Yoast (1.7.4) by Yoast WordPress plugin developers, and change log mentions that latest version has "fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor."

Generally, it has been believed that if you have not installed WordPress Yoast for SEO, then your WordPress website is seriously incomplete. The vulnerability is really serious for website owners who wish to increase their search engine traffic by using this plugin.

Therefore, WordPress administrators with disabled Auto-update feature are recommended to upgrade their WordPress SEO by Yoast plugin as soon as possible or they can manually download the latest version from WordPress plugin repository.

If you have installed WordPress 3.7 version and above, then you can enable fully automate updating of your plugins and themes from Manage > Plugins & Themes > Auto Updates tab.

Unknown Pada 22:11 Komentar

Unknown

'WordPress SEO by Yoast' Plugin Vulnerability Affects Millions

Security

A critical vulnerability has been discovered in the most popular plugin of the wordpress content management platform (CMS) that puts tens of Millions of websites at risks of being hacked by the attackers.

The vulnerability actually resides in most versions of a WordPress plugin known as ‘WordPress SEO by Yoast,’ which has more than 14 Million downloads according to Yoast website, making it one of the most popular plugins of WordPress for easily optimizing websites for search engines i.e Search engine optimization (SEO).

The vulnerability in WordPress SEO by Yoast has been discovered by Ryan Dewhurst, developer of the WordPress vulnerability scanner ‘WPScan’.

All the versions prior to 1.7.3.3 of ‘WordPress SEO by Yoast’ are vulnerable to Blind SQL Injection web application flaw, according to an advisory published today.

SQL injection (SQLi) vulnerabilities are ranked as critical one because it could cause a database breach and lead to confidential information leakage. Basically in SQLi attack, an attacker inserts a malformed SQL query into an application via client-side input.

HOW YOAST VULNERABILITY WORKS

However, in this scenario, an outside hacker can’t trigger this vulnerability itself because the flaw actually resides in the 'admin/class-bulk-editor-list-table.php' file, which is authorized to be accessed by WordPress Admin, Editor or Author privileged users only.
Therefore, in order to successfully exploit this vulnerability, it is required to trigger the exploit from authorized users only. This can be achieved with the help of social engineering, where an attacker can trick authorized user to click on a specially crafted payload exploitable URL.
If the authorized WordPress user falls victim to the attack, this could allow the exploit to execute arbitrary SQL queries on the victim WordPress web site, Ryan explained to security blogger Graham Cluley.
Ryan also released a proof-of-concept payload of Blind SQL Injection vulnerability in ‘WordPress SEO by Yoast’, which is as follows:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

PATCH FOR YOAST SQLi VULNERABILITY

However, the vulnerability has reportedly been patched in the latest version of WordPress SEO by Yoast (1.7.4) by Yoast WordPress plugin developers, and change log mentions that latest version has "fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor."

Generally, it has been believed that if you have not installed WordPress Yoast for SEO, then your WordPress website is seriously incomplete. The vulnerability is really serious for website owners who wish to increase their search engine traffic by using this plugin.

Therefore, WordPress administrators with disabled Auto-update feature are recommended to upgrade their WordPress SEO by Yoast plugin as soon as possible or they can manually download the latest version from WordPress plugin repository.

If you have installed WordPress 3.7 version and above, then you can enable fully automate updating of your plugins and themes from Manage > Plugins & Themes > Auto Updates tab.

Nguồn: thehackernews.com

A critical vulnerability has been discovered in the most popular plugin of the wordpress content management platform (CMS) that puts tens of Millions of websites at risks of being hacked by the attackers.

The vulnerability actually resides in most versions of a WordPress plugin known as ‘WordPress SEO by Yoast,’ which has more than 14 Million downloads according to Yoast website, making it one of the most popular plugins of WordPress for easily optimizing websites for search engines i.e Search engine optimization (SEO).

The vulnerability in WordPress SEO by Yoast has been discovered by Ryan Dewhurst, developer of the WordPress vulnerability scanner ‘WPScan’.

All the versions prior to 1.7.3.3 of ‘WordPress SEO by Yoast’ are vulnerable to Blind SQL Injection web application flaw, according to an advisory published today.

SQL injection (SQLi) vulnerabilities are ranked as critical one because it could cause a database breach and lead to confidential information leakage. Basically in SQLi attack, an attacker inserts a malformed SQL query into an application via client-side input.

HOW YOAST VULNERABILITY WORKS

However, in this scenario, an outside hacker can’t trigger this vulnerability itself because the flaw actually resides in the 'admin/class-bulk-editor-list-table.php' file, which is authorized to be accessed by WordPress Admin, Editor or Author privileged users only.

Therefore, in order to successfully exploit this vulnerability, it is required to trigger the exploit from authorized users only. This can be achieved with the help of social engineering, where an attacker can trick authorized user to click on a specially crafted payload exploitable URL.

If the authorized WordPress user falls victim to the attack, this could allow the exploit to execute arbitrary SQL queries on the victim WordPress web site, Ryan explained to security blogger Graham Cluley.

Ryan also released a proof-of-concept payload of Blind SQL Injection vulnerability in ‘WordPress SEO by Yoast’, which is as follows: