Как стать автором
Обновить

Комментарии 123

Так было уже давно в инете. Навскидку: it-giki.ru/post/153.html (01 января 2011, 05:17). Может это автор еще и здесь решил отписаться.
Интересно ))
Неожиданно!!!
По вашей ссылке — копипаст моего текста, который я запостил в песочницу Хабра в окрестностях 29 декабря 2010 года и больше никуда никогда не отписывался.
Посмотрел внимательно на сайт по ссылке… Да это же клон Хабра, ворующий посты из песочницы!
Видимо, карма? :-)
Да, они именно так и делают. Сам видел там свой пост из песочницы, который тоже публиковал перед НГ, когда было объявлено, что попасть в песочницу будет проще :)
Там все посты admin копипастит, хз, есть ли там вообще живые пользователи.
НЛО прилетело и опубликовало эту надпись здесь
Об использовании плагинов к Firefox в данной войне кроме 2010 года не слышал никогда. Год смертников со скриншотами пришелся на использование IE7, если мне не изменяет память. Хотя, конечно, за запуск другого браузера наблюдатели наверняка не наказывали бы.

Впрочем, на полноту изложения не претендую. Просто скомпилировал воспоминания тех очевидцев, с кем общался лично, и собственные наблюдения в единую временную ленту. Поскольку борьба была в основном невидимая, айсберг был наверняка сильно больше.
НЛО прилетело и опубликовало эту надпись здесь
А, эту XSS я видел. Лично отправил разработчикам линк на сообщение об ошибке с работающим фреймом Яндекса в середине. Вроде обещали починить, но не знаю, насколько успешно.
В мое время систему эту глючило и колбасило неимоверно. Помню были вопросы, на которые заведомо не было правильного ответа среди 4 предложенных. Или были такие вопросы, где правильным считался явно неверный ответ. Только база ответов из тренировочных тестов нас и спасала.

А еще там были «лабораторные работы» вроде бы по настраиванию сетевого оборудования через эмулятор консоли. Еще больший ужас.
— Жми 3.
— Почему 3?
— Не знаю, но это правильно.
— Не сработало.
— Тогда F5 и еще раз 3. Пока не сработает.
А можно имена студентов поимённо, с указанием вклада в… противостояние и резюме?
Все активные участники того процесса, как и следовало ожидать, сейчас работают в крутых IT-компаниях за крутые зарплаты)
Мы опоздали? Увы…
Черт, я работаю учителем. В крутой компании скучно. :)
Саныч?
Большая часть этих людей уже не в России :-)
Я вот, в институте написал прогу, которая забиралась в память процесса системы тестирования, находила текст отображаемого на экране вопроса, отступала заданное количество байт и находила массив правильных ответов. После чего автоматически проставляла галочки правильных ответов. Лафа!
Да, а я самый непопулярный вариант сдачи всегда использовал, но зато самый действенный — учил…
не всегда он самый действенный. Особенно когда число вопросов около 200 и все они касаются технических деталей, а не понимания сути.
Согласен, технические детали таким методом сдавать — неблагодарное занятие.
Но тем не менее другого способа 100% сдачи даже таких тестов я не знаю. Разве что «зубрежка».
«Извините, а мне вот система поставила 68 баллов, а должна была 78. Вот у меня распечатка с полным дампом ваших баз вопросов, в ней написано, что я ответил правильно, так что…»

С такими системами сдачи не всегда 100%, даже если всё выучил и понял.
Вы наверно не было знакомы с этим курсом. Учить этот курс не было ни какого смысла. Поверьте мне :) Нет ни одного студента, ни одного ботана этого престижнейшего ВУЗа нашей страны, который ставал этот курс, который бы считал, что к этим тестам нужно готовиться при помощи честной учебы.
О, я смотрю, ты тоже в курсе этой истории? Забавно наблюдать тонкость прослойки по контактам :)
Ну, что значит тоже :) Я тоже выдирал базу вопросов из этих тренировочных тестов, а как еще это было сдавать? :)
Как и находящийся выше @ITdirector, мой друг и сотрудник :) И как еще как минимум один из двух моих разработчиков по Комбилду, учившихся в сем достославном ВУЗе. Я и говорю, слой тонок!
Интересно =) Мы с нашей группой делали подобное, только в весьма мелких задачах. Частью наших наработок и сейчас студенты пользуются.
Мы делали скриншоты командой-«смертников» и за ночь решали.
Еще я в свое время взломал тест — там проверка ответов была на Javascript, и правильные ответы можно было узнать и кода :)
НЛО прилетело и опубликовало эту надпись здесь
Кстати, нормальный фильм бы получился )
А то какое-то натянутое впечатление после применения команды «ping» для подбора пароля :-D
НЛО прилетело и опубликовало эту надпись здесь
В «Трон: Наследие» тоже настоящие никсовые команды.
>Один человек и вовсе получил строгий выговор за фотографирование монитора сдающей группы через прозрачную стену.

Ага, с формулировкой «промышленный шпионаж». За фотографию человека на фоне этой прозрачной стены.

Отношение студентов к этому курсу неповторимо, его так все «любят» :)
тссс, не палимся %-)
Как будто в ИТМО дело было
Вот и я так подумал. А, оказывается, нет.
Видимо, во всех IT-вузах всё одинаково :))
а можно подробнее про ИТМО? у нас нынче единственный доступных хак — отправлять письмо самому себе с ответами на тесты :)
а разве не прикрыли это ещё?)
Когда я на первом курсе был — уязвимость в адресной строке нашли и в итоге получили все логины и имена пользователей, а потом брутом подобрали пароли. Спалились когда вошли в систему одновременно с Директором ЦДО. =)
У нас было все просто: запароленный ворд файл со скриптом на VB, ответы были выделены красным цветом. Разумеется мы его стащили и программкой подобрали пароль, затем сделали шпоры)
Ох уж этот Студент Х
И где такие только берутся)
Справедливости ради, замечу, что это был не один человек, оставленный на второй год, а два совершенно разных Студента Х из разных выпусков.
студент Х и студентка Х, если мне не изменяет это самое.
Тогда уж студентка Y.
Ой, доктор, разве можно так ошибаться: ;) Студент Y. Студентка X

Ну, или Студент XY. Студентка XX :)
> Если тут есть разработчики подобных систем или люди, имеющие отношение к учебному процессу, задумайтесь, от всего ли вы себя обезопасили — всё это не мифические потенциальные угрозы, а вполне осуществимые на практике вещи.

«Профессор, конечно, лопух, но аппаратура ПРИ НЕМ! Как слышно, ПРИ НЕМ!»
Это же про НИУ ИТМО и ЦДО?)
Неа. Нечто московское.
Видимо, во всех IT-вузах всё одинаково :))
Ну тут всё точно, я крайне сомневаюсь, что строгачи за фотографии, скрытый автоотвечающий софт на дискетках и идиоты с распечатками полных баз ответов на апелляциях сильно часто пересекаются. А тут я точно знаю про все три факта на конкретном факультете.
На факультете КТиУ, есть такая программа для тестирования по предметам моделирования и сетям.
Так там та же история.

Сначала была написана программа для перехвата правильных ответов — пофиксили.
Потом подмена страницы результат — пофиксили.
Получали список всех вопросов из программ — вопросы обновляли в день тестирования.
Тогда уж просто стали использовать ArtMoney, но это уже опасно.
Апофеозом стало использование удаленного рабочего стола, один студент проходил тестирование в аудитории и делал вид, что решает. А второй подключался и решал с учебником за него.
Удаленный рабочий стол — зачет! :-)
ахаха )
несколько из моих фокусов:

локальная сеть была на новелле, для меня тогда неизвестная система, но дефолтные пароли подошли к серверу :) таким образом я изучил новелл

потом когда была винда, я активно юзал снифферы

нам отключили локалку — я обжал кабель кроссовером и мы по-очереди делились результатами :)

потом был баг в IIS (его юзал codered), так я тоже получал базу с ответами

а потом мне в институте поставили зачет и запретили ходить на занятия по информатике до конца года :D
специальность была «информационная безопасность в коммерческих структурах» или что-то вроде того
Ну правильно, специальность ведь была освоена в полном объёме.
Дефолтные пароли на новеле?

Мож запамятовал, но вроде ни в 3.12, ни в 4.0 не было.
Не напомните?
напомню, admin / password, admin / admin и тому подобное
Если верить дате вашего рождения из профиля, то 16 лет вам было в 2000 г. Где ж вы новелку то нашли?
Не поверите, нам и в 2010м её преподавали.
А мне они перестали попадаться гдет-то в 2005 году, а так нет нет, да у кого стоит, работает.
ну она и до сих пор есть в некоторых учебных заведения :)
на 2ом образовании (менеджмент) на гос экзамене был тест. 1200 вопросов, которые дали пройти на сайте за 4 дня до сдачи. Другой подготовки не было. Замучился учить, а нужно было 95% набрать. Я, как единственный в группе айтишник, нашёл дыру:
если открыть 2ую страницу с тем же URL до завершения теста, потом на первой ответить на вопросы и завершить тест, а вторую страницу обновить, то на 2ой будет результат всегда равный 100% который и ложится в базу. Дома получалось, а на госе как назло сам ответил на 100% :)
У нас на 1м курсе решили устроить по программированию зачет с автоматической проверяющей системой. Самописной.
Какому гению пришел в голову метод проверки «положить рядом с входным файлом выходной и сравнить их на совпадение» я не знаю. Но exec('cp answer output') проходило все тесты ко всем задачам.
Вполне легитимный способ получить зачет на 1 курсе, на мой взгляд ))
Путёвка на пересдачу легитимнее =)
Проблема в том, что к второй попытке зачета текст универсальной программы из 3х строчек выучили наизусть даже те, кто смутно представлял, чем int отличается от void *.
Да, бездумно повторяющие конечно не заслуживают. Но все равно закончится тем, что им напишет кто-то другой программу. Для них, вероятно, единственный фильтр — это устные зачеты по теории.
Просьбы вида «сделайте, чтобы было вот так» (изменений на 3 строчки) тоже неплохо фильтруют.
От имени студентов скажу что найти способ обламать систему было намного интереснее чем проходить сами тесты.
Пользуясь случаем, мы бы хотели передать привет бабушке, маме и всем, кто помогал нам завершить взлом :D
*апплодисменты в зале*
Да, эпично =)
У нас в универе есть возможность пройти пробный тест, в котором есть все вопросы из реального. Тут уж до автоматизма и запоминания доходило.
Впрочем, 'смертники' тоже были.
тему надо спрятать, не надо нашим идеи подавать.

у меня просто не показываются вопросы до самого теста, никаких предварительных, известны только темы. А еще за чьё-то читерство уменьшается время на тест для всех и пусть другие потом решают чего сделать с тем кто им так «помог».

ЗЫ хотя варианты с договора с тем, кто вводит вопросы для тестов, уже были.
Тут вопрос тонкий, примерно как с публикацией/сокрытием кода эксплойтов, описаний уязвимостей, исходных кодов сервисов и прочего. У обоих подходов есть сторонники и противники. И у тех и у других есть свои доводы.
А у нас исключали с универа за списывание или читерство.
У нас программа тестер на весь экран, нельзя свернуть и и вообще ничего. Вопросы копируются за 5 минут до начала экзамена. Хранятся в зашифрованной БД рядом в файле. Есть пароли на вход и выход. Так что всё достаточно сложно :)
А прога тестирующая есть еще до проведения тестирования? У вас ASM не было? Рекомендую поковырять прогу дизассемблером + отладчиком и разобраться как она работает а там и решение найдется и не обязательно патч самой проги. Прокачайте мозги. ;)
Тестер-то на весь экран, но в системе могут быть и фоновые процессы, автозапуск всякий.
А что с него-то? Там даже вопросы картинками. В случайном порядке 30 картинок из базы в 50 картинок.

Проще выучить и быть хорошим мальчиком, тем более все эти тесты были — по спецификации C#. У всех C# головного мозга, но это же хорошо :)
Да, в России примерно так все и было :) Специальность была не айтишной, но электронные тесты случались.

Сейчас, в Европе, даже представить не могу, чтобы можно было читить или списывать. За это отчисляют сразу, а все тесты — исключительно на бумаге. Впрочем, и учиться намного легче и интереснее, поэтому вполне можно сдавать своими знаниями.
Хех у нас были только тупые тесты написанные под досом. Запускалось все это из нортон коммандера в котором был хекс редактор встроен. В общем, даже не интересно — все вопросы и ответы лежали в хексе открытым текстом.
Класс, 10 лет назад, мне приходилось вытаскивать базу с дискеты преподавателя с помощью процесса в винде маскирующегося под AVP (антивирус такой был). Дальше находил правильные ответы (в ручную) изменял текст БД и в следующею пересдачу менял на время теста новую БД со старой (тот же процесс делал). Правильные ответы маркировал с помощью дополнительного символа (напротив правильного ответа на границе монитора ставилась еле заметная точка). В итоге, сдавал всегда со второй попытки на максимальный бал ))
Этот текст такие воспоминания молодости навеял… Дело было в первый год, и тогда на фоне последователей наши методы были совсем простыми. Сам учебник в системе дистанционного обучения был скверным переводом (местами вольным пересказом) Таненбаума, и его скопировали в первый же день использования системы. При прохождении теста ответы легко находились контекстным поиском в этом файле. Тогда же мы составили первые списки вопросов с правильными ответами.

Вопросы были местами юмористическими, местами просто с ошибками. Вот несколько избранных среди использовавшихся в первый год работы системы.

Как расшифровывается аббревиатура UDP?
  • User Destruction Protocol
  • User Data Protocol
  • Undefined Data Protocol
  • Unexpected Data Protocol

Приемопередатчик на спутнике называется
  • Транспондер
  • Трансивер
  • Трансформер
  • Трансвистит

Троекратное рукопожатие – это:
  • Способ ведения успешных переговоров
  • Ритуал ввода в строй нового маршрутизатора в компании Cisco Systems
  • Алгоритм надёжного установления соединения
  • Метод быстрой доставки подтверждений по транспортному каналу

Основные причины искажения сигнала при передаче
  • Затухание
  • Неравномерное затухание
  • Искажение формы
  • Шумы
  • Длина проводника
  • Количество изгибов
  • Экскаватор
  • Узкая полоса канала

Кто автор алгоритма троекратного рукопожатия?
  • Томпсон
  • Томлинсон
  • Алгоритм народный
  • Гейтс

Кто является официальным создателем WWW?
  • Билл Гейтс
  • Альберт Гор
  • Тим Бернерс-Ли
  • Скотт МакНили
а мне вспомнилось как двое обозвали витую конкордом :)
всегда правильные варианты разбавляются неправильными, а иногда заведомо бредовыми, но как показала практика — их тоже выбирают.
ЗЫ еще оптоволокно лучше витой — так как оно не подвержено солнечному свету :)
Юмористические варианты ответов забавными были, а вот отсутствие правильного ответа среди предлагающихся вариантов или ошибки в базе ответов гораздо печальнее.
На одном экзамене предстояла сдача теста на компах. Информации о самом тесте раздобыть почти не удалось, попытки получить на исследование программу тестирования через получение доступа к компам, где тестирование проводится, не увенчались успехом (позже оказалось, что прога имеет веб-интерфейс).
Когда подошла очередь этого экзамена и стало ясно, что автомата не видать и сдавать придётся, я взялся за оценку своих возможностей. Оценив свои силы, понял, что честно выучить материал не успею (это был не профильный, а общеобразовательный предмет… ой, да чего уж там скрывать, БЖД это было). Зато успею сделать хорошую шпору.
В итоге за два дня родилась программа, которая:
* хранилась на флэшке в автозагрузке
* при запуске не имела видимого интерфейса
* зато имела интерфейс для знающих в виде окошка в углу экрана, которое становится полупрозрачным при наведении мышки, и прозрачным при убирании мышки
* в программе содержалась база из всех вопросов по предмету, которые смог нарыть, в том числе отсканированные и распознанные вопросы с какой-то распечатки
* в окошке имелась строка поиска по вопросам, причём не тупой strpos, а строка разбивалась на слова, для каждого слова длиннее 2 букв составлялись множества вопросов, в тексте которых (тексте вопроса или ответа) имелось вхождение этой строки, в список вопросов выводилось пересечение этих множеств
* ну и при выборе конкретного вопроса в окошке ниже появлялся ответ
* причём набирать текст в строке поиска можно было и в «невидимом» режиме, главное поставить фокус на неё
* (!) программа была также имела вариант компиляции под Windows Mobile, и её копия была на моём КПК

В итоге на экзамене пользовался вариантом с флэшки, процентов 95 вопросов нашёл в своей базе и… система поставила мне трояк.

В конце концов проблема была решена банальной правкой HTML (и лошадиной дозой адреналина — помимо того, что нужно было успеть внести правки, пока не подошла тётенька-проверяющий, так я ещё и быстро закрыл перед тётенькой окошко браузера — чтобы не заметили слетевший дизайн страницы — и вдруг выяснилось, что она не успела посмотреть оценку — а на серваке-то другие совсем числа… повезло, что была вторая тётенька, которая всё увидела и записала так, как мне было нужно).
В дополнение, про дамп базы вопросов для одного студента другого факультета путем взлома сайта через SQL-injection я не расскажу. Да я и не знаю, слышал только, что один знакомый одного моего знакомого это вроде бы делал…
Мда. Легче и дешевле было распечатать вопросы на бланках и проверить вручную ответы :)
Я почти расплакался. Молодость моя :) Совсем недавно же было :) А как после гайки начали закручивать. Но ничего, молодцы, все равно захакали.

Помню, как еще во втором маш.зале, где юниксы были и disk-less терминалы фревые во время загрузки загружали с дискетки свой подправленный init :)
Ты еще программирование на Квейке на формозовских компах под NT4.0 вспомни :)
мы просто снифили пароль преподавателя и правили свои результаты от его имени (ну и txt'шник «вопрос-ответ» составляли если заранее был доступ к базе)
Было дело онлайн тесты по информационной безопасности сдавал через написание бота, собирающего базу вопросов по обучающим тестам и проходящего экзаменационный на отлично.
Забавный был опыт, но вот прочитать материал всё же стоило бы.
Друг готовился сдавать экзамен по вождению:

1. купил диск с программой-тестом, что бы потренироваться.
2. В файле технической инструкции к программе неожиданно был обнаружен инженерный пароль.
3.…
4. Прибыля!!!
тем не менее, ребята хорошо работают в команде. Из ядра этой группы могло бы вырасти что-нибудь путное.
В разные годы это ж всё разные люди были.
Эх, люблю я подобные истории.
Я в универе, тоже читерством занимался. Были тесты в локалке кафедры. Заходишь, выбираешь тему, заполняешь группу и ФИ и отвечаешь, после чего тест отправляется на сервак где и проверяется. Полчаса работы и готов чит. Пара часов и готов чит на все 4 теста для нашего факультета. Работал он так:
— заходишь на мой сайт :)
— выбираешь тест
— заполняешь группу и ФИ
— нажимаешь «I love DaaGER»(все мои читы за время обучения, сопровождались подобными кнопочками)
— и вперед к преподу, который говорит «Вы сдали».

Работало просто, я просто отсылал готовый тест, с иногда меняющимся количеством верных ответов. Вот так мне пригодилось моё увлечение веб-программированием.

Потом были написаны новые странички моего сайта, которые позволяли делать лабы по кодированию и сжатию информации. Странички, которые позволяли найти варианты строк, чтобы коэффициент сжатия был тот, который нужен преподавателю. С одним лишь я не справился, не смог построить «дерево» для алгоритма Хаффмана, алгоритм знал, но построить было проблематично, от руки легче и быстрее было.
И дополню(не в целях хвастовства):
Этот предмет единственный, который заставил самостоятельно крайне активно изучать материал. Были прочитаны около десятка статей о сжатие и кодирование, прочитаны форумы с текстом и кодом, как на известных, так и не известных языках. Перечитанные главы из книги Ватолина. Лабы я делал первый и помогал другим. Особо приятно было, когда мы выбрали пустую аудиторию и я у доски всем рассказывал о том, что на лекции не совсем качественно объясняли. Пришли люди из другой группы, открыли дверь, увидели меня у доски, студентов за партами, извинились и закрыли дверь. А через 10, когда мы резко собрались и вышли, оказалось ещё что и препод с ними был, перед которым извинились уже мы. Оказалось еня приняли за препода, который задержал группу.Приятно:)
Полученные навыки и знания пригодились на зачете, после первого же вопроса, мой ответ оказался настолько полным и точным, что преподаватель сказал, что даже не знает что можно спросить после этого. Обидно было, что это «зачет» и один вопрос, а за семестр до этого у препода получил «три», просто потому что не повезло…
Ух меня понесло:)
Лаба по КОИЗ(не помню расшифровку) — делаешь тест, заваливаешь, принскрин, и в Paint чуток правишь текст и просто подозвать препода.
Лаба по Информационной безопасности в Телекоммуникационных Системах: лаба на шифрование текста с заменой символов+вопросы по расшифрованному тексту. Простые манипуляции с HEX редактором, размышление о том, как бы я написал программу эту. Изучение конфигов. Вуаля. Заваливаешь расшифровку и вопросы — результат 100% текста расшифровано и все ответы правильные.
Извините за конкретику, но очень уж напомнило факультет БИ в ГУ-ВШЭ… вы случаем не оттуда? =)
Нет, вы к сожалению обознались. Впрочем, не только вы. Тут по меньшей мере двое в комментариях ошибочно узнали в тексте ИТМО.
Значит не мы одни такими изысканиями занимались. Спасибо за топик )
Весёлые были времена, да, я попал на виток с дискетками, деталей как прятался скрипт не помню, по смыслу это были javascript вставки, которые по клику в определённое место левой кнопкой искали буфер обмена в ответах, а правой кнопкой в полном тексте лекций, и подменяло какой-то левый текст на странице на нужную инфу.
Скрипт писали сами, т.к. популярного в те времена скрипта мы почему-то не нашли :)
А почему заставили всех гадать где и что это было?
11 класс школа. Выпускные экзамены. Не поставили автомат по последнему — информатике. Обида.

Но было время к этому подготовиться.
Выход брутфорс!

Кабинет информатики 12 компьютеров + сервер на NetWare
Дома пишется вирус на паскале который заражает файл command.com и устанавливается деструкция на заданную дату и время.

Проблема: в БИОСе закрыты дисководы.
Решение: на уроке пишется программа которая дампит кмос в файл, потом через 70-71 порт сбиваем контрольную сумму кмоса, открываем дисковод — копируем файл на компьютер, восстанавливаем кмос из файла.

Как заразить все компьютеры? Общих сетевых папок нет.
Решение: как-то на уроке нам создали пользовательские учетные записи на NetWare, преподаватель чтобы облегчить нам жизнь порекомендовал придумать простые пароли, и привел пример пароля — 5 раз ввести первую букву своего имени (например, если вас зовут Александр — вам предлагалось задать пароль — «ааааа», кстати преподавателя звали как раз Александром:).

Вход под учеткой препода, в syscon'e создание левого пользователя с правами супервайзера. Доступ на запись к общим папкам.
Заражение сетевых игр (обычно все играли в Quake).

Итог: все машины инфицированы.

Деструкция:
Техническая справка — MBR
Из Структуры описания раздела интересуют 3 байта — 01h-03h указывающие на начало раздела, туда просто пишем 0/0/1.

Результат:
на win-95/98, жесткий диск тупит при загрузке после вывода «verifying dmi pool data». Да при том тупит так, что не грузиться с загрузочной дискеты, и более того при подключении такого винта слэйвом — переносит такой эффект на компьютер мастер харда.

Кульминация:
за некоторое время, вручную синхронизируется время на всех компьютерах в учебном классе, выставляется день экзамена, время деструкции — 8:44 АМ.
Прихожу сдавать, первым не иду, сижу жду первые 6 человек сдали, зашли следующие начали готовиться и настал sudden death. В течении 2-3 минут погасли все включенные компы, остальные при включении — не загружались. Все замирало на надписи «verifying dmi pool data»

Экзамен пришлось перенести. Он был последним. На следующий день мне нужно было уезжать в другой город сдавать вступительные экзамены. И автомат мне все же поставили — как не крути.
Ну если подумать, то это же исключительно позитивное явление:

— одни студенты лучше изучают необходимые для сниффинга знания, основы написания плагинов к браузеру и что там еще.
— другие студенты, у которых есть более важные дела, чем зубрежка, или которым неинтересен предмет, не ломают себе мозги
— преподаватели тоже совершенствуются в области защиты информации.

Сплошной позитив же.

А вот, кстати, кому интересно, похожая система тестирования, юзается в одном из университетов, с веб-мордой и рейтингами (открыта для всех желающих): iq.karelia.ru/
Из ломающих систему хорошие специалисты получаются, а те, кто просто пользуются результатами их труда, потом на следующих экзаменах заявляют: «ICMP не использует IP-адреса и является протоколом прикладного транспортного уровня».
Вот честно, года два назад я проходил этот курс сетей вроде и знаете, эта война прошла как-то мимо меня :(
Хе… У нас в университете был предмет «Проблемы устойчивого развития» и одним из зачетов было прохождение эмулятора экономической игры какой то.
Суть в том, что ты на сайте игры вводишь в форму значения типа «на развитие сельского хозяйства в этот год выделить столько-то» «увеличить гос. долг на столько то» а она в ответ пишет результаты типа «рост населения такой то» «рост прибыли такой то» «качество жизни такое то» и исходные данные для следующего шага… И самое главное — пишет сколько баллов ты получишь исходя из результатов.

А после студент должен исходя из полученных результатов написать отчет.

Так вот, я сделал сайт — генератор отчета по результатам игры. Суть в том, что человек на моем сайте вводит пароль от личного кабинета игры, мой сервер скачивает страницу результатов и генерирует ему шаблонный отчет но с его цифрами и графиками… Но помимо генерации отчета робот скачивает и историю ходов — на каком ходу что студент вводил в форму.

После этого любой другой студент может зайти на мой сайт и нажать на кнопку «накати ответы этого студента на мою игру» — запускался веб-паук который заполнял формы и отправлял сайту игры — фактически результаты копировались. Очень многие воспользовались. Но потом эту тему прикрыли к сожалению.
Смел красава конечно. Столько хитроумных тестеров за просто так поимел. А они и рады стараться, ночами тест кейсы придумывают!
А ведь едва 1% понял, что «смел» это не краткое прилагательное ;)
Судя по личностям комментаторов — процентов 50.
На МехМате МГУ один из предметов включал в себя автоматическое тестирование. Базу данных этого тестирования увели несколько лет назад. В этом году очередной курс сдавал с помощью нее тест.
Самое веселое, что один из вопросов в базе имеет неправильный ответ и каждый год несколько человек доказывают преподавателям, что они ответили верно, а система определила неверно.
Скрипта для вытаскивания не было… Всё ручками. А то что на попытку по 10 секунд уходило, так то мастерство.

И сдается мне скрипт бы обделался, учитывая вероятность получить 100% и так максимум 1/4^100, а еще были вопросы с большим кол-вом вариантов, вопросы с галочками и вопросы на ввод ответа.
1/4^10 конечно, но это всё равно достаточно мало, учитывая, что, скажем, к одной из глав было более 200 вопросов и выдаются они рандомно.
Мне о скрипте рассказали люди, у которых количество попыток самотестирование измерялось то ли десятками, то ли сотнями тысяч. Думаю, за такое число попыток реально утянуть базу, если хоть какие-то начальные знания из гугла зашить вручную.
А в какой год это было? Скрипт в смысле?
Кто ж теперь вспомнит… 2004 или 2005 год, надо полагать.
Ну, тогда, надо полагать, присочинили.

Да и я прикидываю, и сотня тысяч попыток не спасет, если не забить ответы на половину вопросов всё ж вручную. А для этого еще сами вопросы нужны.
В 2005 не было никакого скрипта. Были боевые человекоподобные ботаны, которые собирали вопросы с правильными ответами во время тренировочных тестирований. И была веб-страничка, на которой сверху был скриншот страницы входа в систему, а внизу белым по белому правильные ответы.
Мне вот больше нравится момент, когда собирали скриншоты и через картинки и работали, сравнивали картинку в тесте с картинкой в базе, жали их по-дикому, чтобы база на дискету влезала. В частности, когда нужно было внести в базу вопрос не со скрина, создавалась страничка с этим вопросом, подгонялись шрифты и с неё брался скриншот.

Это всё вместо того, чтобы текст захватывать, дело то тоже нехитрое было. А так зато сколько навыков :)
Когда-нибудь по этой эпической саге снимут фильм. (:
по-моему, в процессе этой войны студенты лучше обучились IT, чем за весь тот курс, что они сдавали :-)
Отчасти напоминает мои отношения со студентами, на которых я обкатывал собственную систему тестирования. Правда, у нас было более конструктивно — мы в дружелюбной обстановке искали баги и выдумывали новые фишки для реализации.
я участвовал в этой битве. Кстати от обычного парсинга вопросов из базы до дискеток с программой распознования изображений прошло менее полугода.

ТС забыл упомянуть такой момент:
Факультет: Мы запускаем систему дистанционного обучения. Каждому студенту дается индивидуальный логин-пароль. Система будет следить кто, когда и сколько времени находился в системе, сколько и чего прочитал. Те кто мало заходил в систему не получат хорошую оценку.
Студенты: Хм. php+curl. Прога сама за нач будет «обучаться». Заодно скачает тексты уроков для подготовки в ночь перед экзаменом

Факультет: Что-то странное творится. С одного IP сидит пол курса. А самое интересное, сидят круглосуточно и даже во время лекций! Непорядок.
Студенты: Хм. php+curl+random+cron+proxy.

Факультет: +Тренировочные тесты
Студенты: хм. php+curl+random+cron+proxy+sqlite Проходит тестирование и собирает базу вопрос с ответами.

Ну а дальше то что написал топикстартер.

я(как оказалось потом, не я один) писал скрипт, который заходил в систему и делал темные дела. Так как комп работал круглосуточно и про этот скрипт узнали одногруппники…

Когда пришла пора собирать ответы, то (не знаю как другие) мой скрипт не просто случайно проходил тест, это долго. Из всего теста находился вопрос, ответ на который пока нет в базе, ставился на него ответ(который еще не пробовал) и завершал тестирование. Если результат теста не 0, то ответ считался правильным на этот вопрос и он заносился в базу.

Сама система обучения работала крайне медленно, то работа скрипта на одном компе крайне медленно заполняла базу. Но есть доступ на мощный сервер на факультете. Скрипт дорабатывается, sqlite база переносится на mysql, доступ к базе открывается через интернет.

В итоге сервер с системой дистанционного обучения «атакуется» сервером стоящим в той же комнате.
Это случайно не МГУ?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории