开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在python 3中隐藏登录凭据

在Python 3中隐藏登录凭据可以通过使用环境变量或配置文件来实现。以下是两种常见的方法：

使用环境变量：
- 将登录凭据存储在操作系统的环境变量中，以便在代码中访问。
- 在Python代码中，使用os.environ模块来读取环境变量的值。
- 优势：环境变量的值不会直接暴露在代码中，提高了安全性。
- 应用场景：适用于需要在不同环境中部署代码的情况，如开发、测试和生产环境。
- 示例代码：
- 示例代码：

使用配置文件：
- 将登录凭据存储在一个配置文件中，然后在代码中读取该文件。
- 常见的配置文件格式有INI、JSON、YAML等，可以根据需求选择合适的格式。
- 优势：可以轻松地修改配置文件中的凭据，而无需修改代码。
- 应用场景：适用于单个环境中部署代码的情况，如个人项目或小型团队项目。
- 示例代码（使用INI格式的配置文件）：
- 示例代码（使用INI格式的配置文件）：

腾讯云相关产品推荐：

对于使用环境变量的方法，腾讯云提供了云函数 SCF（Serverless Cloud Function）服务，可以通过配置环境变量来隐藏登录凭据。详情请参考：云函数 SCF
对于使用配置文件的方法，腾讯云提供了云开发服务，其中的云开发 CLI 工具可以方便地管理配置文件。详情请参考：云开发

相关搜索:Aries-Cloudagen Python 0.6.0版本:在将凭据存储到wallet之前验证凭据即使在注销iOS swift 4之后，fb登录也不会要求提供登录凭据在C++中隐藏凭据提供程序在iOS和安卓之间共享登录凭据在python上创建登录页面在Python中临时隐藏QCandlestickSeries 在python中执行git命令并配置凭据在React中隐藏/显示容器以进行登录在shell脚本中检查Bitbucket登录凭据在WooCommerce中对登录用户隐藏登录表单

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浅谈八大顶尖网银恶意软件

Cyphort分析了黑客使用的八个破坏银行和电子支付的恶意软件，这些恶意金融软件侵害和威胁了数以百万计的用户。八大金融恶意软件 1、Zeus：自2007年问世以来，Zeus成功感染了全球数以百万计的电脑，可以说是最成功的电子银行杀手。金融服务业的人士认为，这款恶意软件从功能来讲是对电子银行最具威胁的。 2、SpyEye： SpyEye是一种感染了全球约140万台电脑的木马，黑客利用SpyEye，可以在受害人机器上进行键盘记录和截屏，从而窃取受害者的电子银行信息。 3、Torpig：这是一种由Meb

05

急死！CPU被挖矿了，却找不到哪个进程！

最近有朋友在群里反馈，自己服务器的CPU一直处于高占用状态，但用top、ps等命令却一直找不到是哪个进程在占用，怀疑中了挖矿病毒，急的团团转。

02

全平台系统提权辅助工具 PEASS-ng

PEAS-ng 是一款适用于 Windows 和 Linux/Unix* 和 MacOS 的权限提升工具。

06

微软 Credential Providers 详解二《关键函数》

上一篇中我们介绍了凭据的加载和代码中函数的调用顺序，接下来我们就要了解一下一些关键函数在代码中起到什么作用了。了解清楚这些以后我们才能定制出我们自己需要功能。

01

联合身份模式

将身份验证委托给外部标识提供者。这可以简化开发、最小化对用户管理的要求，并改善应用程序的用户体验。

02

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

自定义认证后台

Django auth 应用默认支持用户名（username）进行登录。但是在实践中，网站可能还需要邮箱、手机号、身份证号等进行登录，这就需要我们自己写一个认证后台，用于验证用户输入的用户信息是否正确，从而对拥有正确凭据的用户进行登录认证。 Django 验证用户合法性的方式 Django 对用户登录的验证工作均在一个被称作认证后台（Authentication Backend）的类中进行。这个类是一个普通的 Python 类，它有一个 authenticate 方法，接收登录用户提供的凭据（如用户名或者邮

08

Bypass 重定向

http 参数可能包含 URL 值，并可能导致 Web 应用程序将请求重定向到指定的 URL。通过将 URL 值修改为恶意站点，攻击者可能会成功发起网络钓鱼诈骗并窃取用户凭据。由于修改后的链接中的服务器名称与原始站点相同，因此网络钓鱼尝试具有更可信的外观。

01

Windows渗透测试工具：RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy开发的，专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术，从Windows工作站，服务器和域控制器中检索散列和凭据。 RedSnarf的主要任务包括以下两项：不在入侵/渗透的主机上留下任何证据 – 包括文件，进程和服务；不对主机造成不适当的损害，即强制主机重启 YouTube演示：https://youtu.be/oLmpOol8NV8 为什么要使用RedSnarf？其实除了RedSnarf，还有许多优秀

07

针对 Microsoft 365 的钓鱼即服务平台 Greatness

软件即服务（SaaS）在过去的十年中呈现爆炸式增长，企业无需再进行痛苦的安装部署、不需要再签订不灵活的合同，直接可以支付需要的专业软件的许可费。犯罪分子也采用了软件即服务的模式，努力达成多元化与专业化。这样做大大降低了网络犯罪的入门门槛，不懂技术的攻击者也可以购买到攻击所需的一切。

01

Windows渗透测试工具：RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy开发的，专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术，从Windows工作站，服务器和域控制器中检索散列和凭据。 RedSnarf的主要任务包括以下两项：不在入侵/渗透的主机上留下任何证据 - 包括文件，进程和服务；不对主机造成不适当的损害，即强制主机重启 YouTube演示：https://youtu.be/oLmpOol8NV8 为什么要使用RedSnarf？其实除了RedSnarf，还有许多

07

在Linux上狩猎Netwire RAT

如今攻击者可以选择多种 RAT，现在的这些 RAT 不仅针对 Windows 而是跨平台的（如 CrossRAT、Pupy 与 Netwire）。尽管此前有大量的研究针对 Windows 与 macOS 版本的 Netwire，但是 Linux 版本的 Netwire 却鲜为人知。

01

window下抓取密码总结

无论是在我们渗透测试过程中(授权的情况下)还是在自己搭建的环境中进行攻防演练，获取服务器的明文密码或这hash值这一步骤非常重要，如果抓取到的密码是整个域内服务器的通用密码，那我们就可以不费吹灰之力拿到整个域控内的所有服务器。现在抓取密码的工具差不多都是exe、图形化工具、python写的工具等。

04

凭据收集总结

本来按计划应该学习横向移动，但是发现一个问题，如何横向？这就是我记录这一章的目的，提升权限之后获取凭证，利用已获取的凭证扩大战果才是正确的姿势，学习的主要资料是参考链接中的分享，建议阅读参考的原文，再次说明，我的只是笔记，记录我的学习过程中的所思所想。

03

可窃取所有浏览器 Cookie！新窃密软件 NodeStealer 成万金油

Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户，包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美，以制造业和技术服务行业为主。

03

新一代银行木马SharkBot正通过Play Store传播

SharkBot是一种银行木马，它能够绕过多因素身份验证机制窃取银行账户凭据，自2021年10月以来就一直处于活跃的状态。

01

红队渗透项目之GoldenEye

简介该项目是以伟大的詹姆斯邦德电影GoldenEye为主题创作的，目标是获取最底层的flag.txt文本信息，该项目作为OSCP考试培训必打的一个项目环境，该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者，还是有些基础的渗透者，甚至是高水平的渗透人员读该文章都能学习到一些红队的技巧和知识。

02

内网横向渗透的常用姿势

在渗透行动中，目标往往是获得整个内网的控制权，从而发动 APT（高级持续性威胁）攻击。但在更多时候，我们的起点只是一两台通过 0day / 1day 漏洞攻陷的机器。

03

挖洞经验 | 以SSRF获取Zimbra邮件服务的用户明文凭据

本文讲述了作者以邮件登录服务为突破口，利用其中的Zimbra应用功能和邮件端口配置bug，可以对目标邮件服务端执行流量转发设置（SSRF），实现对所有登录用户的明文凭据信息窃取。

02

工具的使用 | Impacket的使用

Impacket是用于处理网络协议的Python类的集合，用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP，ARP，IPv4，IPv6，SMB，MSRPC，NTLM，Kerberos，WMI，LDAP等协议进行低级编程访问。数据包可以从头开始构建，也可以从原始数据中解析，而面向对象的API使处理协议的深层次结构变得简单。

01

红队攻击-对RDP常规操作

rdp服务是我们常用的服务，可以不是3389端口，可以改成任意端口，时候为了利用它，必须先找出来服务端口，毕竟管理员也鸡贼。

03

六种Web身份验证方法比较和Flask示例代码

在本文中，我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。

04

针对WordPress的攻击调查

WordPress是一个著名的开源内容管理系统（CMS），用于创建网站和个人博客，据估计，目前35%的网站都在使用CMS。

02

将数据中心代理和Oxylabs住宅代理与MultiLogin集成的操作保姆级流程

MultiLogin是一款集多账户管理、浏览器指纹隐藏等功能于一体的实用解决方案。在您抓取所需公共数据时，将MultiLogin与值得信赖的代理结合使用，可以大幅降低被网站阻止情况发生的概率。

03

跟我一起探索 HTTP-HTTP 认证

HTTP 提供一个用于权限控制和认证的通用框架。本页介绍了通用的 HTTP 认证框架，并且展示了如何通过 HTTP “Basic”模式限制对你服务器的访问。

03

Python建立SSH连接与使用方法

paramiko是一个Python实现的SSH协议库，可以用来建立SSH连接、传输文件等。你可以在Python环境中使用pipan，所以我们需要安装paramiko。

01

恶意软件FontOnLake Rootkit正在威胁Linux系统

近期，网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动，该活动可能使用以前无法识别的Linux恶意软件，除了收集凭据和充当代理服务器外，还可以远程访问其运营商。

04

利用Github探测发现特斯拉API请求漏洞

本文讲述作者通过Github探测手段（Github Recon）发现了特斯拉某服务端的用户名密码凭据，通过该凭据可以成功对特斯拉后台API接口发起请求，实现敏感数据返回。漏洞最终获得了特斯拉官方$5000美金奖励。一起来围观围观。

02

浅谈云上攻防——云服务器攻防矩阵

前言云服务器（Cloud Virtual Machine，CVM）是一种较为常见的云服务，为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源，以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。由于云服务器中承载着用户的业务以及数据，其安全性尤为重要而云服务器的风险往往来自于两方面：云厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比，平台侧的漏洞往往带来更广泛的影响，例如于2018 披露的AWS LaunchingEC2s did

09

Jenkins凭证管理（上）

一.简介众所周知，在Jenkinsfile或部署脚本中使用明文密码会造成安全隐患。但是为什么还频繁出现明文密码被上传到GitHub上的情况呢?笔者认为有两个主要原因(当然，现实的原因可能更多)∶ 1

03

FreeBuf周报 | 盘点美国八大轰动全球的监听事件；三星禁止员工使用生成式AI

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！热点资讯 1. 阿里、TikTok 在列，欧盟指定 19 家超大型在线平台接受额外审查欧盟委员会根据《数字服务法》(DSA)通过了第一项决定，公布该法第一批受监管的大型企业名单。根据新的内容审核规则，19 个主要的在线平台和搜索引擎将受到额外审查，且需在4个月内向委员会提供风险评估报告。 2. 密码退出历史舞台，谷歌支持 Passkey 登录

03

恶意软件竟被上架谷歌商店，下载次数甚至超200万次

网络安全研究人员上个月在Google Play商店中发现了广告软件和窃取信息恶意软件，并且至少还有五个在谷歌商店里继续保持上架状态，而它们的下载量已经突破200万次。其中在感染广告软件之后用户设备会显示不必要的广告，这会降低用户体验、耗尽设备电量，甚至产生未经授权的费用。这种软件通常会伪装成设备上的其他应用来隐藏自己，并通过强迫受害者查看或点击附属广告来为远程操作者牟利。但窃取信息的恶意软件更加危险，它会窃取您经常访问的其他网站的登录凭据，包括您的社交媒体和网上银行账户。 Dr. Web antivirus

01

OWASP物联网测试Attack Surface Areas

The OWASP IoT Attack Surface Areas (DRAFT) are as follows:

03

如何启用和连接Django管理界面

在本教程中，我们将连接并启用Django管理站点，以便您可以管理您的博客网站。Django管理站点预先构建了一个用户界面，旨在允许您和其他受信任的个人管理网站的内容。

08

从0开始入门Chrome Ext安全（番外篇） -- Zoomeye Tools

在经历了两次对Chrome Ext安全的深入研究之后，这期我们先把Chrome插件安全的问题放下来，这期我们将一个关于Chrome Ext的番外篇 – Zoomeye Tools.

01

Python网络爬虫实战使用Requests、Beautiful Soup和Selenium获取并处理网页数据

在网络数据变得日益丰富和重要的今天，网络爬虫成为了获取和分析数据的重要工具之一。Python作为一种强大而灵活的编程语言，在网络爬虫领域也拥有广泛的应用。本文将介绍如何使用Python中的两个流行库Beautiful Soup和Requests来创建简单而有效的网络爬虫，以便从网页中提取信息。

02

在 Python 中隐藏和加密密码？

在当前的数字时代，安全至关重要。在我们作为开发人员的工作中，我们经常处理密码等机密数据。必须使用正确的密码加密和隐藏方法来保护这些敏感数据。Python 中许多可访问的技术和模块可以帮助我们实现这一目标。通过对可用实现的基本思想和示例的解释，本文研究了在 Python 中隐藏和加密密码的最佳技术和方法。

05

Tryhackme Mr Robot CTF

开放了80、443端口，访问网页我们可以看到一个简短的介绍，然后是一组可供选择的选项:

02

Active Directory渗透测试典型案例（2）特权提升和信息收集

本文转载自：https://www.cnblogs.com/backlion/p/10843067.html

02

【操作】使用 Cobalt Strike 对 Linux 主机进行后渗透

因为 Cobalt Strike 只能生成针对 Windows 的有效载荷，并不是全平台的。所以使用 Cobalt Strike 对 Linux 主机进行后渗透常常被人忽略。但是其实是可以做到的。

01

Jenkins整合SonarQube

https://www.cnblogs.com/xiao987334176/p/12011623.html

01

Windows 身份验证中的凭据管理

Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机，身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明（例如证书、密码或 PIN）相关联的数字文档。

01

逆天了，你知道什么是CSRF 攻击吗？如何防范？

跨站点请求伪造 (CSRF) 攻击允许攻击者伪造请求并将其作为登录用户提交到 Web 应用程序，CSRF 利用 HTML 元素通过请求发送环境凭据（如 cookie）这一事实，甚至是跨域的。

01

特斯拉Backup Gateway被爆多个联网安全风险

研究人员从特斯拉 Backup Gateway（备份网关系统）中发现了多个安全弱点，并说明了它们可遭利用的方式。

03

Python 恶意软件 AndroxGh0st 开始窃取 AWS 密钥

入侵 AWS 主机的动机有很多，最常见的就是挖矿与垃圾邮件。过去的一年内，Lacework 发现关键事件中有近三分之一都与垃圾邮件和恶意邮件有关。其中，大部分都与一个名为 AndroxGh0st 的 Python 恶意软件有关，背后至少有一个名为 Xcatze 的攻击者。

02

新的Power Query Google Sheets连接器！

在Power BI 11月的更新中，Power Query团队为我们带来了一个新的连接器：Google Sheets连接器

01

钓鱼网站“潜伏”谷歌广告，窃取亚马逊用户账密

Bleeping Computer 网站披露，一个新的网络犯罪活动将钓鱼网站隐藏在谷歌搜索结果中，以窃取亚马逊网络服务（AWS）用户的登录凭据。 2023 年 1 月 30 日， Sentinel 实验室的安全分析师首次发现钓鱼活动隐藏在谷歌广告搜索结果中。据悉，当搜索“aws”时，不良广告排名第二，仅次于亚马逊自身推广搜索结果。【恶意谷歌搜索结果（Sentinel One）】经过研究分析，安全人员发现攻击者最初将广告直接链接到网络钓鱼页面，后期陆续增加了重定向步骤，以期逃避谷歌广告欺诈检测系统的监

02

从 0 开始入门 Chrome Ext 安全（番外篇） -- ZoomEye Tools

1.《从 0 开始入门 Chrome Ext 安全（一） -- 了解一个 Chrome Ext》 2.《从 0 开始入门 Chrome Ext 安全（二） -- 安全的 Chrome Ext》

04

黑客利用GitHub将恶意软件推送至用户电脑以盗取凭据

几个月前，我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此，我们依然没能阻止网络罪犯们的脚步。如今，我们又发现了使用相同手法的网络犯罪活动。其主要目的是利用GitHub，将二进制信息窃取恶意软件悄无声息的推送至Windows用户的电脑上。受感染的Magento网站最近，识别了数百个受感染的Magento站点均被注入了以下的脚本： <script type="text/javascript" src="https://bit.wo[.]tc/js/l

07

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

之前，青藤云安全已经对ATT&CK进行了一系列的介绍，相信大家都已了解，Mitre ATT&CK通过详细分析公开可获得的威胁情报报告，形成了一个巨大的ATT&CK技术矩阵。诚然，这对于提高防御者的防御能力、增加攻击者的攻击成本都有巨大作用。但或许是出于猎奇心理，很多威胁情报报告更多地是在报道攻击者使用的比较新颖有趣的技术方法，而却忽视了攻击者反复使用的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上，推出了ATT&CK Sightings项目，以期借助社区力量收集更多直接观察数据的原因所在。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭