摘要:
1、介绍 pyqt项目中,子线程中存在两种需求: 子线程结束时,以信号的形式触发事件,调用方法,与ui组件交互 子线程运行过程中,持续以信号的形式触发事件,调用方法与ui组件交互 可以基于pyqtSignal实现。 (189条消息) 【python编程】使用pyqtsignal实现消息回调的注意事项 阅读全文
摘要:
1、介绍 注册表是windows操作系统中的一个核心数据,其中存放着各种参数,涉及软硬件的相关配置和状态。 2、python读写操作 阅读全文
摘要:
1、介绍 环境变量分为系统环境变量和用户环境变量。 作用是作为固有的、乃至公共的空间,存储变量被应用程序使用。 2、应用程序调用问题 系统调用应用程序,或者应用程序相互之间的调用,那么首先需要知道被调用应用程序所在目录。 解决方法可以是将被调用应用程序安装在固定目录下,这可行但不合理。 另一种,是用 阅读全文
摘要:
1、介绍 信息泄露是指攻击者可以获取到服务端禁止用户获取的信息。 直接查看或下载敏感文件、源代码文件 基于数据库越权访问 基于tomcat等服务器容器、组件或者自定义的管理页面,获取信息甚至进行操作 开发者将重要文件直接保存到开发目录下,比如网站代码源代码包、网站备份、数据库备份、用户和密码测试文件 阅读全文
摘要:
1、介绍 阅读全文
摘要:
1、介绍 如果注册、登录或找回密码处,提交时本身携带登录凭证cookie,服务端直接使用该登录凭证cookie。同时,攻击者可以控制携带的cookie,那么就存在会话固定漏洞 2、场景 (1)url或请求体部中,携带登录凭证cookie,服务端接收后设置为响应cookie (2)xss漏洞,利用js 阅读全文
摘要:
命令执行(RCE)面对各种过滤,骚姿势绕过总结 - 知乎 (zhihu.com) RCE漏洞原理及危害、相关危险函数 - FreeBuf网络安全行业门户 1、介绍 RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 PHP代码执行函数: eval 阅读全文
摘要:
1、介绍 sql注入,是前端输入,参数未经过严格检查,拼接到sql语句中,交给sql应用执行。 2、场景 2.1 sql语句分类 sql注入,可以按照sql语句进行划分类型,主要为增删改查。广义上来说,各个参数都有可能作为sql注入的点,通过构造payload,使得超出预期的sql语句结构。 2.2 阅读全文
摘要:
1、介绍 xss,cross site script跨站脚本攻击。在用户的浏览器上解析攻击者构造的payload作为脚本执行,从而造成危害。 2、场景 2.1 反射型xss 测试参数在url的路径参数、直接参数中,或者表单请求体部中。响应体部包含该参数,并可以构造解析为脚本 浏览器执行js脚本 - 阅读全文
摘要:
1、介绍 csrf,cross site request forgery跨站请求伪造。 用户登录目标域,获取cookie的登录凭证,保存到本地浏览器。不存在直接或间接token 攻击者基于社工,使得用户在同一浏览器下访问其所控制的网站 该网站伪造请求,提交到目标域,这个过程自动或强制携带本地浏览器存 阅读全文