问题标签 [challenge-response]

我最近开始了 Python 挑战赛，当前的测试需要在当前页面内容中使用字符串 24 个字符的代码。我想出了一些代码，但无法弄清楚为什么它只进入下一个 URL 一次，然后就卡住了，有什么想法吗？我觉得我在这里遗漏了一些非常基本的东西。谢谢你的帮助。

我需要通过 telnet 连接到远程服务器。要对服务器进行身份验证，我必须回答 100 个问题。因此，我尝试使用 telnetlib 在 python 中自动执行此任务，但提示停止但没有返回任何消息。

这就是我所做的

在命令行提示符中，我收到此消息

然后我会被问到一个问题，如果答案是正确的，我会得到下一个问题，直到我完成 100。但是在 python 程序中，我既没有收到消息也没有收到问题！该怎么办？

编辑：

设置 telnet 的调试级别后，我得到了服务器的答案。你能解释一下这是为什么吗？

我已经开始着手一个新的网络项目，这次我想我会更多地考虑如何处理用户身份验证（以前只使用 MD5 散列密码）。我觉得我已经搜索了网络的所有角落，寻找一个简单、不过度杀伤力的解决方案，现在我想知道是否可以实现以下内容：

• 客户输入用户名和密码，然后按“提交”

• 在提交时向服务器发出 AJAX 请求，要求提供随机令牌/随机数/秘密/密码

• 服务器将随机数返回给客户端，其中使用密码和随机数进行哈希处理

• 客户端将用户名和哈希（密码+随机数）发送到进行身份验证的服务器

我的问题如下：

1. AJAX 是否可以向服务器请求一个 nonce 并让服务器等待哈希被传回？（async: false 也许？随意提供片段/示例）我看到的唯一另一种选择是将 nonce 存储在隐藏字段中，这似乎不太有利。

2. 这会提供任何额外的安全级别吗？

3. 如果没有，还有哪些其他选择？我应该像以前一样以明文形式发送密码吗？

注意：我知道很多人会想说 HTTPS/SSL 是实现安全站点的唯一方法，我听到了，但由于这个项目不应该有超过少数用户全部由我手动创建并且不会有安全信息，如金融交易或其他敏感数据交换我只想在登录期间有一种合理的方法来保护密码/数据。在这种情况下，MITM 和所有其他威胁对我来说不是问题，因为 a) 那里的大多数黑客不会对我的小型、仅供私人使用的项目感兴趣，并且 b) 任何计算的成本数据丢失或安全漏洞不足以保证购买 SSL 证书

任何意见或建议都值得赞赏（即使是那些想骂我小气的菜鸟的人；））

很久以前我看到一个 Javascript 挑战，我不记得在哪里，但现在我正在尝试解决它。直到现在，我不知道如何进行。

我有这个函数，我必须调用它返回 8：

由于foo不返回任何内容，是否可以拨打我需要的电话？或者这只是一个棘手的问题？

我目前正在使用 Header Authentication 身份验证/登录模块开发 Worklight 6.0 POC。尝试在应用程序中访问受保护的适配器时，我在控制台中收到以下错误：

403 (Forbidden)
TypeError: Object # has no method 'handleFailure' 我在通过 chrome 中的控制台测试应用程序的 Web 版本时收到此错误。

在 iPhone 版本的应用程序上进行测试时，我也遇到了类似的错误。 例外。TypeError：“未定义”不是函数（评估“handler.handleFailure（wlFailure [realm]）”）

查看 AbstractChallengeHandler 类/函数中的 wlclient.js 文件，我没有看到用于解释上述错误的 handleFailure 函数定义。我认为应该有一个handleFailure 的定义，或者是否需要更多配置来使用标头身份验证保护适配器资源？

我问这个问题的原因是，我试图在我创建的客户端“ChallengeHandler”中测试我的逻辑，我试图理解为什么我无法通过正常的客户端challenge.isCustomResponse/challenge.handleChallenge 通信。

代码/配置如下

任何建议/意见表示赞赏

身份验证配置.xml

HeaderAuthRealmChallenge.js

我有一个 Java 客户端和一个服务器，我希望通过客户端连接到我的服务器的每个人都使用原始客户端（没有被破解或修改）（通过反编译代码很容易修改）。

我的想法：当客户端连接到服务器时，服务器向客户端发送一个随机哈希。一类客户端计算 jar 文件的校验和，并创建一个新的哈希码，其中包含来自服务器的哈希和校验和。客户端将新的哈希发送回服务器，服务器检查它是否有效。现在我将混淆这个类，或者我将使用另一种强大的保护，没有人可以伪造 jar 文件的校验和。

我的问题是：你怎么看？它会像我想象的那样工作吗？

服务器（即充当多个客户端的中央服务的远程主机）如何检测类似于暴雪的 Warden 的恶意或无效客户端。在某种程度上，这类软件每隔一段时间就会向客户询问特定信息，这些信息不容易被非官方客户伪造。

我想知道的是，如何实现这样的机制，以便很难或不可能从客户端进行逆向工程？开源客户端软件（闭源服务器）有没有这样的技术？

我试图回答这个问题：

使用 JavaScript 语言，让函数 SimpleSymbols(str) 获取传递的 str 参数，并通过返回字符串 true 或 false 来确定它是否是可接受的序列。str 参数将由 + 和 = 符号组成，它们之间有几个字母（即 ++d+===+c++==a），并且要使字符串为真，每个字母必须用 + 符号包围。所以左边的字符串是假的。该字符串不会为空，并且至少包含一个字母。

这是我的解决方案：

我试图解决 /r/DailyProgrammer 挑战号 2，简单https://www.reddit.com/r/dailyprogrammer/comments/pjbj8/easy_challenge_2/ 我试图在 python 中使用函数和一系列嵌套的 if-elif-else 是我的代码：

问题是，一旦它要求您输入最终金额的值，无论您输入有效数字还是输入“n”，它总是让您进入无限循环，要求您输入有效的最终金额。我想知道为什么它不进入 if 或 elif 而是直接进入不可避免的 while 循环。

我正在编写的程序要求用户在执行代码之前从管理员那里获得响应密码的挑战，并且是动态的（不是相同的挑战）。受质疑的信息必须简短，并且是普通用户可以通过电话向其他人阅读的内容。

我一直在做研究，但那里的大部分信息都是针对更复杂的高安全性方法，在这种情况下不需要，因为我们没有保护核信息或任何东西。我发现的其他事情非常简单，提供 x 然后给出由 x + y = z 计算的 z 的答案，但这太简单了。

我试图避免的解决方案：提供一个加密密钥，人们很难与另一个人进行口头交流以获得响应代码。

是否已经有任何解决方案可以提供这种类型的挑战，或者我是否会被一长串随机字符卡住？

更新：

管理员将没有关于用户信息的信息。我只是在寻找一种简单的算法，如果存在的话，它不是一个简单的数学方程。用户的挑战是通过管理员可以用来提供响应值的算法自动生成的。它可以是字母或数字，但必须小而简单。