推荐项目:RAU_crypto —— 微软Telerik UI的开源安全审计工具

于 2024-08-30 07:32:41 发布
阅读量689 收藏 13
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00113/article/details/141694763
版权

推荐项目:RAU_crypto —— 微软Telerik UI的开源安全审计工具

RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh_mirrors/ra/RAU_crypto

项目简介

RAU_crypto是一款专为Telerik UI for ASP.NET AJAX设计的安全审计工具,它集成了针对CVE-2017-11317和CVE-2017-11357的文件上传漏洞利用以及CVE-2019-18935的.NET反序列化攻击。这款工具由Paul Taylor(@bao7uo)开发,通过自动化手段帮助安全研究人员测试并利用特定版本的Telerik组件存在的安全问题。

项目技术分析

基于Python 3.6及以上版本,结合了pycryptodome库,RAU_crypto实现了对硬编码密钥或已知密钥的Telerik Web资源加密数据(rauPostData)的解密与加密功能。这使得研究者能够深入探索和操作受漏洞影响的应用程序数据流。工具不仅支持传统的本地payload执行,还能通过Burp Collaborator或Responder进行远程SMB服务托管的payload加载测试,增加了灵活性与实用性。

项目及技术应用场景

在企业级Web应用的安全评估场景中,RAU_crypto是一个不可或缺的工具。针对使用了Telerik UI的老版本系统,它可以快速验证其是否存在易被利用的文件上传漏洞和.NET反序列化漏洞。这种能力对于保护内网免受外部攻击至关重要,特别是在那些未及时更新补丁的网络环境中。此外,其对自定义Payload的支持,使得高级安全测试人员能够构建特定场景下的攻击测试,以模拟真实世界中的威胁模型,加强系统的防御能力。

项目特点

  1. 多漏洞集成:一键利用多个CVE,简化了安全测试流程。
  2. 灵活的Payload管理:支持自定义和远程SMB托管的Payload,提高了测试的复杂度和适用性。
  3. 全面的功能覆盖:从加密解密到POST数据生成,再到实际的文件上传和Payload触发,功能齐全。
  4. 高度可配置:允许设定自定义密钥和算法,满足不同环境下的特殊需求。
  5. 社区贡献与资料丰富:基于知名漏洞,链接了大量相关文章和研究,便于深入学习和拓展使用场景。

RAU_crypto不仅仅是一款工具,它是网络安全领域针对特定目标深入分析的一扇窗口,体现了开源社区在提升软件安全性方面的不懈努力。对于Web应用安全研究员和渗透测试工程师而言,这是一个不容错过的重要武器,能够在保障业务安全的同时,深化对现代Web框架安全挑战的理解。立即掌握RAU_crypto,提升你的网络安全检测技能,守护数字经济的每一道防线。

RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh_mirrors/ra/RAU_crypto

邓旭诚Kit
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Vector | Graph:蚂蚁首个开源Graph RAG框架设计解读
南七小僧的学海无涯
08-09 190
RAG的目标是通过知识库增强内容生成的质量,通常做法是将检索出来的文档作为提示词的上下文,一并提供给大模型让其生成更可靠的答案。更进一步地,RAG的整体链路还可以与提示词工程(Prompt Engineering)、模型微调(Fine Tuning)、知识图谱(Knowledge Graph)等技术结合,构成更广义的RAG问答链路。增强训练REALM引入了知识检索器增强大模型预训练,以改进大模型的问答质量和可解释性。增强微调RA-DIT实现了对大模型和检索器的双指令微调,RAFT。
CS算法(二)—— 斜视SAR点目标仿真
lightninghenry的博客
07-04 325
我们按照Cumming教授所著的《合成孔径雷达成像——算法与实现》7.6节的点目标参数进行仿真,斜视角设置为8°,中心斜距改为1000km。
探索RAU_cryptoTelerik UI for ASP.NET AJAX的安全利器
gitblog_00054的博客
06-06 979
探索RAU_cryptoTelerik UI for ASP.NET AJAX的安全利器 RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.c...
Rationalized Arcsine Transform:RAU 计算有理化反正弦变换-matlab开发
06-01
% RAU(X,N) 将正确响应的数量 X 转换为% 合理化反正弦 (rau)。 N 给出重复次数。 % % 此函数允许使用具有正确分数百分比的方差分析统计% 因为:1) RAU 是正态分布的; 2) RAU 的均值和方差% 彼此不相关; 和 3) 得分...
nou_rau:PHP系统的通用和Elixir版本,网址为https
04-06
NouRau 要启动Phoenix服务器: 使用mix deps.get安装依赖mix deps.get 使用mix ecto.setup创建和迁移数据库 使用npm install在assets目录中安装Node.js依赖项 使用mix phx.server启动Phoenix端点 ...
基于RAU搜索算法的分布式MIMO系统性能matlab仿真,含仿真操作录像
04-18
2.领域:RAU搜索算法。 3.内容:基于RAU搜索算法的分布式MIMO系统性能matlab仿真。 Rc = 1000; % 小区半径1km L = 20; % RAU个数 Cl =10; M = 3; % RAU 天线数 K = 4; %用户个数 N = 2; %用户天线数 Mt = M*L; %...
常用芯片手册芯片资料MAX260常用芯片手册芯片资料MAX260
最新发布
08-31
常用芯片手册芯片资料MAX260常用芯片手册芯片资料MAX260提取方式是百度网盘分享地址
常用芯片手册芯片资料82530常用芯片手册芯片资料82530
08-31
常用芯片手册芯片资料82530常用芯片手册芯片资料82530提取方式是百度网盘分享地址
全国互联网网民数和互联网普及率.xlsx
08-31
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141286857 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 各省、地级市、区县互联网普及率、宽带接入户数和电话用户数等 1、全国互联网网民数和互联网普及率(1997-2020年); 2、各省互联网网民数和互联网普及率(1997-2016年); 3、地级市互联网宽带接入用户(1996-2020年); 4、各区县电话用户数(2004-2019年)
SQLAlchemy-2.0.30-cp37-cp37m-musllinux_1_1_x86_64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
百度云/百度网盘Python客户端
08-31
极简说明 安装: pip install bypy 运行: bypy 这是一个百度云/百度网盘的Python客户端。主要的目的就是在Linux环境下(Windows下应该也可用,但没有仔细测试过)通过命令行来使用百度云盘的2TB的巨大空间。比如,你可以用在Raspberry Pi树莓派上。它提供文件列表、下载、上传、比较、向上同步、向下同步,等操作。
2010-2021年省级碳排放和分行业二氧化碳排放数据(全新整理)
08-31
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141286902 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 分行业二氧化碳排放量 数据来源:中国能源统计等 时间范围:1994-2021年 指标:八类能源和总量
SQLAlchemy-2.0.31-cp310-cp310-manylinux_2_17_x86_64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
科技小贴士-美国白宫召开会议讨论开源软件给软件供应链带来的安全隐患(1).docx
08-31
科技小贴士-美国白宫召开会议讨论开源软件给软件供应链带来的安全隐患(1).docx
vite-page-entry-main.zip
08-31
vite-page-entry-main.zip
geopandas-0.13.1-py3-none-any.whl
08-31
GeoPandas是一个开源的Python库,旨在简化地理空间数据的处理和分析。它结合了Pandas和Shapely的能力,为Python用户提供了一个强大而灵活的工具来处理地理空间数据。以下是关于GeoPandas的详细介绍: 一、GeoPandas的基本概念 1. 定义 GeoPandas是建立在Pandas和Shapely之上的一个Python库,用于处理和分析地理空间数据。 它扩展了Pandas的DataFrame和Series数据结构,允许在其中存储和操作地理空间几何图形。 2. 核心数据结构 GeoDataFrame:GeoPandas的核心数据结构,是Pandas DataFrame的扩展。它包含一个或多个列,其中至少一列是几何列(geometry column),用于存储地理空间几何图形(如点、线、多边形等)。 GeoSeries:GeoPandas中的另一个重要数据结构,类似于Pandas的Series,但用于存储几何图形序列。 二、GeoPandas的功能特性 1. 读取和写入多种地理空间数据格式 GeoPandas支持读取和写入多种常见的地理空间数据格式,包括Shapefile、GeoJSON、PostGIS、KML等。这使得用户可以轻松地从各种数据源中加载地理空间数据,并将处理后的数据保存为所需的格式。 2. 地理空间几何图形的创建、编辑和分析 GeoPandas允许用户创建、编辑和分析地理空间几何图形,包括点、线、多边形等。它提供了丰富的空间操作函数,如缓冲区分析、交集、并集、差集等,使得用户可以方便地进行地理空间数据分析。 3. 数据可视化 GeoPandas内置了数据可视化功能,可以绘制地理空间数据的地图。用户可以使用matplotlib等库来进一步定制地图的样式和布局。 4. 空间连接和空间索引 GeoPandas支持空间连接操作,可以将两个GeoDataFrame按照空间关系(如相交、包含等)进行连接。此外,它还支持空间索引,可以提高地理空间数据查询的效率。
SQLAlchemy-2.0.30-cp311-cp311-macosx_11_0_arm64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
钢结构厂房工程监理全过程工作流程图(44个流程).rar
08-31
钢结构厂房工程监理全过程工作流程图(44个流程).rar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邓旭诚Kit

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值