问题标签 [bandit]

我有一个 Rails 3.2, Ruby 1.9 应用程序，我正在尝试使用bandit gem进行设置。

我已经捆绑安装了 gem，运行bandit:install并修改了 和 的（bandit.yml用于开发）值。round_robinmemory

但是，所有启动开发服务器 ( ) 的尝试都会rails s导致以下错误：

如果我Bandit::Engine从 中删除该行routes.rb并进入 rails 控制台，我可以成功创建 Bandit Experiments。

最近，我阅读了一篇名为 Bandits Know the Best Product Price 的博客文章（http://pkghosh.wordpress.com/2013/08/25/bandits-know-the-best-product-price/），其中概述了如何使用多臂老虎机分析进行价格优化。

关于多臂老虎机分析是否优于 A/B 测试也有很多讨论（例如“20 行代码，每次都会击败 A/B 测试”：http ://stevehanov.ca/blog/index .php?id=132?utm_medium=referral与“为什么多臂老虎机算法并不比 A/B 测试‘更好’”：http: //visualwebsiteoptimizer.com/split-testing-blog/multi-armed-bandit-算法/）。

我知道有一个名为“bandit”的 R 包，可用于此类分析。

是否有人有一个玩具示例 -与博客文章中的示例相当 - 它显示了如何使用 R 应用此方法（在价格优化的背景下）？

谢谢你的帮助。

我使用以下行在每次试验中更新我的 beta 分布并给出 arm 推荐（我使用 scipy.stats.beta）：

但目前，它只适用于奖励是二元的（无论是成功还是失败）。我想对其进行修改，使其适用于非二元奖励。（例如奖励：2300、2000、...）。我怎么做？

用于bandit检查代码是否存在漏洞问题。

https://docs.openstack.org/bandit/1.4.0/plugins/start_process_with_a_shell.html

如何解决这个问题？有没有使用commands库（即commands.getoutput）的替代方法？请指教。

（python 2.7）
这个安全领域的新手，如果这些不合适，请更新标签。

这里说，https://github.com/openstack/bandit/blob/master/bandit/plugins/injection_shell.py#L62

commands.getoutput 易受攻击，但不建议替换！啊!

有人可以推荐一个解决方案。谢谢你。

我目前正在做 overthewire.org 的强盗战争游戏（对于那些不知道这是一个网站，你可以通过不同的任务来提高你的黑客技能的人）。我以前做过，但我很早就被卡住了，我用剧透把它们炸开了。好的部分是它留下了很多空间，让我们称之为“可重玩性”。xD 现在我在 bandit20，我需要使用一个可执行文件：

即“将使用 TCP 连接到本地主机上的给定端口。如果它从另一端接收到正确的密码，则将下一个密码传回。”

我最初的反应是拉出 nmap 并寻找开放的端口。我确实找到了一些打开的，其中一些正在运行 echo 和一些 openssl。无论服务是否运行，总共有 5 个端口是打开的，我还发现使用 ps -alx 在后台运行的 netcat 正在侦听另一个第 6 个端口。

现在，任务描述说：

[文件] 在您指定为命令行参数的端口上连接到 localhost。然后它从连接中读取一行文本，并将其与上一级 (bandit20) 中的密码进行比较。如果密码正确，它将传送下一级（bandit21）的密码。注意：尝试连接到您自己的网络守护程序，看看它是否如您所想的那样工作

我使用预期的语法尝试了我找到的所有 6 个端口，但它们都没有返回任何内容。我确实在带有剧透的博客上找到了网站上的旧描述：

要通过这个级别，您需要登录两次：一次运行 setuid 命令，一次启动 setuid 将连接到的网络守护程序

我尝试了两次 sshing 并在所有这些端口上监听，并在第二个窗口中使用二进制文件，但它什么也没做。问题是，在我运行二进制文件后，它给了我一个空白命令行，但无论我输入什么，它都不会给出任何输出。我在文件上使用了字符串，我看到它确实有无法连接、密码错误、密码正确等失败消息，但我没有得到任何消息。

在这种情况下，我希望更多地了解基本概念，而不是被交给解决方案。我不确定连接到您自己的网络守护程序意味着什么（我尝试使用谷歌搜索并在 youtube 上查找，但我并不真正了解网络守护程序是什么或连接到它意味着什么）。还必须运行 2 个终端似乎很重要，因为他们把它拿出来了，但我似乎不知道你应该怎么做，或者在这种情况下你应该用它做什么。另外，为了收听本地主机上的端口，我使用了 netcat，不确定是否还有其他更好的方法，或者您是否应该使用其他任何东西。

非常感谢任何反馈，谢谢:)

任何版本的多臂老虎机（EpsilonGreedy、Thompson Sampling、UCB）在高拉取率的奖励/点击率非常低时是否有用。我有 600 条内容，每天大约有 3000 次点击（所有内容的总和），请求量约为百万。有了这个，实现 MAB 会很有用，这个点击率是否对算法有任何统计意义。

我正在尝试在 ubuntu 虚拟机上通过网络解决 bandit24。我已经看到了解决方案。但是我有一个问题，当我尝试在 tmp 上创建一个目录作为 bandit24@bandit 时，我收到以下消息：

无法创建目录“name_of_directory”：文件存在。

如果我尝试使用 find 命令，则只有“。” 目录，ls我收到消息：

无法打开目录“。” ： 没有权限。

我也尝试过ls -lon tmp 并收到消息：

无法打开目录“tmp”：权限被拒绝

我还能做什么？可能是什么问题呢？

我的代码库中有一些模型固定装置，以便于项目的初始设置。但是，它也包括SQL固定装置，这意味着.sql文件。

我深入研究了 Django loaddata，但它不支持“SQL”固定装置，因为，

sql 不是已知的序列化格式

因此，我尝试使用mysql --host={host} --port={port} --user={user} --password={password} {database} < {filename}命令直接从 MySQL 加载数据。

但是我有很多sql文件，我不想单独加载每个文件，所以我决定添加一个脚本来加载指定目录中的所有 sqls 文件并使用os.system.

现在bandit正在为它发出安全警告

问题：[B605:start_process_with_a_shell] 使用 shell 启动进程，检测到可能的注入，安全问题。严重性：高置信度：高

所以我正在寻找一种从 SQL 文件加载数据的安全方法。

1 步/状态 MDP（马尔可夫决策过程）是什么意思？

我正在尝试创建一个单词列表，其中包含相同的密码，后跟一个 4 位数字密码。该图钉经历了 10,000 种变化的每一种可能组合。所需的输出应该是这样的：

等等。

我创建了一个几乎可以得到这个的 shell 脚本，但是 awk 似乎不喜欢通过它传递一个变量，并且似乎只是在调用时打印出每个组合。这是外壳脚本：

我虽然$I会转换$1为循环的第一次运行，并在每次迭代中向上递增。任何帮助将不胜感激。