教員:トレーニングは遠隔地で行われるはずだったため、制御作業(テスト)が与えられ、都合の良い時間に自宅で過ごすことができました。
学生:すばらしい! 私たちは全員ホステルに来て、チームでテストに合格します。 いくつかのグッズと引き換えに、グループ全体を順番に引き継ぐ賢い友人を置くことさえできます。
教員:ここで何かが間違っています。 今年も、教室の聴衆で一定の時間にテストを受けます。 ところで、過去1年のように、トレーニングテストに何度でも合格することで、テストの前に準備できます。
学生:すばらしい! 100%のマークを取得するまでトレーニングテストにランダムに合格するスクリプトを作成しました。 選択された回答は記憶され、質問のデータベース全体が完全に抽出されるまでさらに試行されます。 大きくないので、覚えておいてください。
教員:その他の質問! 健康から利益を得る、詳細をご覧ください。
学生:遠隔教育システムへのリクエストをプロキシし、必要なものへの回答を修正する同一のインターフェースを持つウェブサイトを作成しました。 非常によく似たアドレスバーを分析しないと、別のサイトにいることは認識できません。
教員:遠隔教育システムはローカルネットワークにあります。 教室でインターネットから地獄を無効にします!
学生:怖くない。 javascriptをコンピューターにドラッグしました。テストに合格すると、ブラウザーのステータスバーに正しい答えが表示されます。
学生X:すみませんが、システムは68ポイントを与えました。78点だったはずです。ここに、質問のベースの完全なダンプを含む印刷物があります。
教員:はい、あなたは完全に怠solです! テストの前に質問を表示することは不可能でした。 今回は、トレーニング用と実際のテスト用に、さまざまな質問の2つのプールを提供しました。 ところで、ファイルをローカルに保存することはできなくなりました。これらはディスクレスステーションであり、インターネットにアクセスできず、すべてのUSBポートが前面にあり、非常にはっきりと見えます。
学生:パニック! パニック!
ファカルティ:あなたが採点したものはどこにもありません! おそらく、この軍拡競争全体で、あまりにも複雑な質問を書いたのです。各テストを再試行するためにさらに3回試行された場合に備えてみましょう。
学生:興味深いビジネス。 ここでは、1人の職人がパターン認識に関する論文を持っています。また、フロッピードライブも持っています。
ファカルティ:それで何?
学生:そして、トレイに隠れてスクリーンショットを収集するプログラムをディスケットに入れます。
教員:次は何ですか? 質問はありますが、答えはありません。 そして、すべての質問をどのように収集しますか?
学生:分業と明確な組織。 自爆テロリストの軍隊がテストを再受験し、スクリーンショットのコレクションを収集することで、最初の試みを正直に埋めます。 翌夜、オタクはこれらのスクリーンショットをマークアップします。 次に、それらに基づいて新しいプログラムが生成されます。
観客:ああ、マウスが画面上を動き回って正しい答えをクリックするのは何ですか?!?!
教員:これは機能しません。 テストセッション後のすべての再受験。これが、すべての試験へのアクセスを拒否される危険がある理由です。
学生:うーん、私たちの中には、遠隔教育システムの管理者が住んでいる学部の学生がいます。 %username%ですが、グループの統計を表示してください。 このすばらしいトロイの木馬に感染したマシンの後ろに座って、ここにパスワードを入力してください。 そこで、今度は匿名のWiFiを使用して、有料の匿名プロキシの助けを借りて、今年の質問のデータベース全体を取り出します( 正直に言って、彼らはそれを行いました! )。
教員:学年が伸びたものの、違反は認められませんでした。 おそらく、彼らは心を取り上げて教えました。
学生:やった! 管理者のパスワードは年間を通じて変更されていません。前世代の成果を愚かに使用しています。
学生X:すみませんが、システムは68ポイントを与えました。78点だったはずです。ここに、質問のベースの完全なダンプを含む印刷物があります。
教員:だから、私は言葉がありません。 新しいパスワード、新しい質問、質問のデータベースは、テスト開始の24時間前にサーバーにアップロードされます。
学生:うーん、しかしローカルサーバー上の遠隔教育システムは7年間更新されていませんよね?
教員:はい、そうですね。
学生:はい、1つの脆弱性が発見されました。 任意のユーザーからログインし、それを取得し、特別に形成されたURLを介して、データベースから指定された番号の質問を引き出します。 ちなみに、管理者が利用できるコースの年の質問だけでなく、一般にこのサーバーでこのシステムを介して読み取られたすべてのコースを盗みました。 すべて約6時間かかりました。
システム開発者:新しいバージョンをリリースできません。なぜなら、 アウトソースされたデザイナーは、インターフェースの描画を完了していません。
学部:くそー:(
おそらく、当事者の一連の手順が壊れており、すべてのフェーズが6か月間続いたわけではありません。 ただし、説明されているすべてのアプローチと技術的手段が実際に使用されました。
- チーム降伏
- スペルボット
- フィッシング(ただし、ユーザーはだまされず、オブザーバー)
- 回答付きのカスタムスクリプト
- 質問を収集して回答するための隠されたツール
- ソーシャルエンジニアリング
- ハッキング
もちろん、より典型的で原始的なツールがありました。Wiki、フォーラム、VKontakteグループで、ペイントで作成された質問やスクリーンショットを投稿しました。 ある人は、透明な壁を通して賃貸グループのモニターを撮影したことで厳しいsevere責を受けました。
学生は何でもできますが、正直ではありませんが、IT学生ははるかに危険です。 これが物語です。 そのようなシステムの開発者または教育プロセスに関係する人々がいる場合、すべてから自分を守ったかどうかを考えてください-これらはすべて、神話上の潜在的な脅威ではなく、非常に実用的なものです。
UPD。 アドレスバーの上部にある碑文がブラウザのユーザースクリプトではなく、Delphiのプログラムによって表示されるように修正されました。 さらに、昨年同様のソリューションも開発され、ブラウザプラグインとして実装されました。