41、网络安全防护：Cookie - Proxy与ActiveX API检测方案

java5

于 2025-10-05 13:19:14 发布

阅读量17

点赞数

CC 4.0 BY-SA版权

分类专栏：智能电网安全与隐私文章标签： SSLStrip攻击 Cookie-Proxy方案 ActiveX API误用

本文链接：https://blog.youkuaiyun.com/java5/article/details/153624612

智能电网安全与隐私专栏收录该内容

55 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

网络安全防护：Cookie - Proxy与ActiveX API检测方案

1. SSLStrip攻击与Cookie - Proxy方案

SSLStrip攻击是一种中间人（MitM）攻击，于2009年被提出。它针对安全套接层协议，利用用户的浏览习惯，让用户误以为建立了真实的SSL连接，而攻击者却能以明文形式查看用户的Web流量。此前虽有一些抵御该攻击的方案，但大多只能避免攻击，无法主动阻止。

1.1 Cookie - Proxy方案概述

Cookie - Proxy方案旨在防御SSLStrip攻击，包含安全Cookie协议和新的拓扑结构。拓扑结构由代理模式和反向代理模式组成，主要包含安全局域网保证代理（SLGP）和安全服务器保证代理（SSGP）。

符号	描述
sk	SSGP的服务器密钥
h(•)	哈希函数
Ekey(M)	使用密钥key对M进行加密
Sigkey(M)	使用密钥key对M进行签名
HMACkey(M)	使用密钥key对M进行键控哈希消息认证码计算

订阅专栏解锁全文

会员秒杀 ¥9.9 重磅福利

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

java5

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结

杨秀璋的专栏

06-09

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目，包括CSS注入、越权、csrf-token窃取及CSP绕过，同时总结XSS绕过知识，希望对您有所帮助。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

国家信息安全水平考试NISP一级官方视频知识点整理

rhxznp的博客

08-03

1万+

文章目录一）信息安全概述（了解即可，考察较少）1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义1.4.2 信息安全保障模型1.5 信息系统安全保障1.5.1 信息系统1.5.2 信息安全保障的含义二）信息安全基础技术（重点）2.1 密码学![在这里插入图片描述](https://img-blog.csdnimg.cn/cc933e404bb34c549e0aa

参与评论您还未登录，请先登录后发表或查看评论

XXX高校信息安全服务解决方案

打工人

04-11

3871

月度漏洞扫描实时安全监测季度安全巡检渗透测试代码审计安全加固服务应急响应安全培训安全通告安全咨询

网络安全渗透

李子木的博客

04-04

8854

Sqlmap简介 sqlmap是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。支持的数据库：MySQL，Oracle, PostgreSQL, SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 Sqlmap安装（1）安装sqlmap前，需要.

WEB跨站脚本和cookie(httponly-cookie设置)安全了解

mike_caoyong的专栏

11-24

8303

【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分，种类繁多，这里不准备介绍所有的，只介绍常见的一些。常见Web应用安全问题安全性问题的列表：　　１、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 　　２、SQL注入攻击(SQL injection) 　　３、远程命令执行(Code execution，个人

Web安全攻防渗透测试实战指南笔记三

Ren59421的博客

04-05

8928

第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境，本节演示的是WDLinux的一款集成的安装包。首先，下载需要的安装包，命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压，解压文件的命令为tar zxvf lanmp_v3.tar.gz，运行环境如下图所示。输入sh lanmp.sh命令运行LANMP，这时程...

白帽子讲Web安全——客户端安全

u011423880的博客

07-27

771

一.跨站脚本攻击(XSS) 1.简介 XSS攻击，通常指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。 2.类型 XSS根据效果的不同可以分成如下几类。 (1) 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说，黑客往往需要诱使用户“点击”一个恶意链接，才能攻击成功。反射型XSS也叫做“非持久型XSS”（Non-persistent XSS）。 (2) 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器端。这种X

微服务设计原则——低风险

Dablelv 的博客专栏。

03-26

1673

XSS（Cross Site Scripting）名为跨站脚本攻击，因其缩写会与层叠样式表（Cascading Style Sheets，CSS）混淆，故将其缩写为 XSS。XSS 漏洞是 Web 安全中最为常见的漏洞，通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页中，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、ActiveX、 Flash，甚至是普通的 HTML。

NISP一级学习笔记（1~9章知识点集合大全）

热门推荐

Quest_sec的博客

01-17

1万+

第 1 章信息安全概述一、信息信息的严格定义：信息奠基人香农认为，信息是用来消除随机不确定性的东西。信息是事物运动状态或存在方式的不确定性的描述。（信息是具体的，可被人、机器感知并且加以利用的）（信息来源于物质，又不是物质本身；它从物质的运动中产生出来，又可以脱离源物质而寄生于媒体，相对独立）信息的功能：反应事物内部属性、状态、结构、相互联系以及与外部环境的互动关系，减少事物的不确定...

【C++MFC导出Excel安全性提升】：防范XSS攻击与数据泄露

文中详细介绍了在使用C++MFC导出数据到Excel时的安全实践，包括输入验证、输出编码以及安全策略配置等。通过案例研究，展示了安全性改进措施的实施及其效果评估。本文总结了当前研究的成果，同时对未来C++MFC导出...

【安全编程手册】：WinHttp.WinHttpRequest.5.1加密与认证机制详解

[【安全编程手册】：WinHttp.WinHttpRequest.5.1加密与认证机制详解](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/images/howitworks/auth/entra-join-ad-ckt.png)...

Lua非空判断方法[源码]

11-24

本文详细介绍了在Lua中进行非空判断的几种方法，特别是针对table类型的变量。首先，文章指出了直接对nil值进行索引会导致异常的问题，并给出了一个简单的例子来说明如何避免这种情况。接着，文章讨论了如何判断一个table是否为空，指出不能简单地使用`#table == 0`的方式，而是应该使用`next(t) == nil`的方法。此外，文章还提到了`next`指令在LuaJIT中的优化问题，建议在非必要情况下少用。最后，文章简要介绍了如何判断一个字符串是否全部由空格组成，使用了正则匹配的方法。这些内容对于Lua开发者来说非常实用，能够帮助他们避免常见的错误。

JS表格转Excel实现[可运行源码]

11-24

该文章详细介绍了如何使用JavaScript将HTML表格数据导出为Excel文件。内容涵盖了针对不同浏览器的兼容性处理，包括IE和非IE浏览器的不同实现方式。对于IE浏览器，使用ActiveXObject进行导出；对于非IE浏览器，则通过base64编码和数据URI方案实现。文章还提供了完整的代码示例，包括表格数据的处理、格式化和导出功能，支持文本和图片类型的数据导出。

图片转bin文件存储[项目代码]

11-24

本文介绍了在OpenCV项目中如何将大量图片数据转换为二进制（bin）文件进行高效存储和读取的方法。作者在项目中遇到需要处理大量图片数据的问题，尝试了多种格式（如.mat、.txt、.yml）后发现效率较低。通过使用二进制文件存储，显著提升了读写速度。文章详细展示了使用OpenCV将图片写入二进制文件的代码示例，以及从二进制文件读取图片数据的实现方法。虽然该方法需要提前知道图片的尺寸和数量，但读写速度极快，适合处理大量图片数据。作者还提到可以通过换行符或终止符优化读取过程，但未深入探讨。

ROS视觉处理与色彩识别[项目源码]

11-24

本文详细介绍了在ROS环境下进行视觉处理的基础步骤，特别是针对色彩识别的实现方法。内容涵盖了从摄像头驱动的安装与配置（如usb_cam驱动和image_view工具的使用），到创建功能包和编写图像处理节点（包括RGB图像回调函数、HSV色彩空间转换、二值化处理及形态学操作）。此外，还演示了如何在仿真环境中获取图像，并通过OpenCV实现红色和绿色物体的识别与追踪。最后，文章提供了完整的代码示例和编译运行步骤，帮助读者快速上手ROS视觉处理项目。

Anaconda安装与使用指南[项目源码]

11-24

本文详细介绍了在Anaconda环境下安装和使用jupyter及numpy的步骤。首先，指导用户如何安装Anaconda并创建虚拟环境，然后详细说明了如何在虚拟环境中安装jupyter和numpy。接着，文章提供了多个numpy的练习示例，包括创建零向量、矩阵操作、归一化等。此外，还介绍了如何在Jupyter中完成numpy、pandas和matplotlib的例题，涵盖了从基础操作到实际应用的多个方面。最后，文章总结了实验过程中的经验，特别是在使用国内镜像源后下载速度的提升。

【动静障碍物】基于JPS算法（改进A）全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法（Matlab代码实现）

11-24

【动静障碍物】基于JPS算法（改进A）全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法（Matlab代码实现）内容概要：本文介绍了一种结合改进A*算法的JPS（跳跃点搜索）全局路径规划与DWA（动态窗口法）局部避障的混合控制算法，用于机器人在动静态障碍物环境下的自主导航。该算法通过JPS优化全局路径搜索效率，提升路径规划速度，并结合DWA实现实时动态避障，增强了机器人在复杂动态环境中的适应性和安全性。整个系统在Matlab平台上进行了代码实现与仿真验证，展示了良好的路径规划效果与避障性能。; 适合人群：具备一定机器人学、自动控制或路径规划基础知识的研究生、科研人员及从事智能机器人开发的工程技术人员。; 使用场景及目标：①应用于移动机器人在静态与动态障碍共存环境中的自主导航任务；②为研究高效全局规划与实时局部避障的融合策略提供技术参考与实现案例；③支持Matlab仿真环境下的算法验证与优化。; 阅读建议：建议读者结合Matlab代码深入理解JPS与DWA的集成逻辑，重点关注算法在路径最优性、计算效率与避障实时性之间的平衡设计，可进一步扩展至多机器人系统或复杂地形场景的应用研究。

Lua中loadstring应用[源码]