Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  65 25237
Vet ikke helt hvor jeg skal poste dette men, admin kan jo flytte den vis han føler for det.

Uansett vi har fått tilgang til its-learning på skolen vår. Noen som har noen tips/trix/bugs så man kan utnytte dette systemet?

-Mats
Utnytte?
Jeg har brukt dette i over ett år nå.
Utnytte på hvilken måte?
Du kan alltids forsøke å skaffe passord til en lærer.

Har ikke forsøkt meg på noen form for h4xoring ovenfor nettstedet.

Lagde en aldri så liten identisk side som sendte passord / brukernavn til meg i steden, men har ikke brukt denne...
off...It's Learning suger..Gir lærerne store muligheter til overvåkning og misbruk skjer. Har vært en del diskusjoner om dette på NTNU, jeg er sjeleglad for at ingen av fagene mine bruker driten.
PASTA POWER!!!!
magstr's Avatar
Fant en bug da vi brukte systemet i fjord, som gjør det mulig å sende kjørbar kode i "privat beskjeder". Er ikke sikker på om hullet er tetter, men du kan jo teste det ut!

Selv sendte jeg denne:

Kode

<Script id="ClientEventHandlersVBS" language="VBScript">
<!--
Sub Window_OnLoad
do
open "http://www.its-learning.no"
loop
End Sub
-->
</script>
vi brukte Fronter ifjor, men skulle absolutt gå over til its-learning i år.. så det hadde vært kjekkt vis det var noen bugs som en kunne utnytte
hmm, hva går systemet ut på ?
Halo ! hva er det derer maser med? de fleste litt gjennomførte sider har såppas med sikkerhet at det ikke er noen hull i dem.

det eneste jeg kan nevne er at det er jævelig lett å spre porno over netverket.
1.start nytt prosjekt.
2. legg til venner.
3. upp felles filer.
men hva er poenget? det er da så jævelig mange bedre måter å ha intern fildeling på.

Ellers vil jeg nevne at aller første gang jeg logga inn, sammen med resten av klassen, klarte jeg og en tilfeldig jente i klasse å "bytte" bruker. jeg logga inn på hennes burker og hunn in på min med våre egene burkernavn og passord. vi hadde noen heftige minutter og så og si alle i klassen motok "rare" meldinger fra oss begge. men det har aldri skjedd etter det.
min eneste teori er at vi logga inn "nøyaktig samtidig"
trukke dere klarer det uansett.
moridin: hvis det er det samme programmet jeg tenker på (det med at man kan levere oppgaver og lekser hjemmefra via et program osv) så gir ikke det lærerene noe mer makt?
Opprinnelig postet av zwifty
hmm, hva går systemet ut på ?
Vis hele sitatet...
ja det lurer jeg og på egentlig.

vi brukte det til å legge opp leskeplaner og "labøvelser", men det heler var mer upraktisk enn praktisk. ingen muntlige beskjeder og 5 ekstra hver dag til å sjekke leksene. desssuten var det bare et fåtall av lærerene som skjønnte systemet.
det var rett og slett overflødig.
xratio: det er samme systemet ja...det har også funksjoner for at lærere/forelesere kan legge ut dokumenter osv, Det logges en del om hvem som er pålogget hvor mye de er pålogget, hvilke dokumenter man har lest, når man leste dem, hvor lang tid man brukte dem...alt for mye info som læreren din kan se om den...Les gjennom brukeravtalen så skjønner du hvor mye av sjela di du faktisk selger...
Up is the new down
SilverKhan's Avatar
vi brukte no kalt ebok.no som var tilknyttet its-learning.com opplegget, og det var så buggy at du kunne se i loggen hvilket passord som var brukt til å logge på med

vi får se litt på opplegget i år...
SilverKhan; slik var systemet i begynnelsen i fjor. Dvs; bare hvis man logget inn fra en ekstern side.
Så vidt jeg har skjønt er ebok akkurat det samme.

Magstr, det fant jeg fort ut i fjor
▼ ... over et år senere ... ▼
Bz!, et forslag: Hvis dere bruker dette aktivt på skolen, på samme lokalnettverk, bruk sikker tilkobling (https://). Ved hjelp av Ethereal fant vi ut mange av passordene til medelevene i klassen min, når de brukte vanlig http. Dette kan jo brukes mot en lærer også, for å finne ut passordet hans/hennes. ;p
Sist endret av charz0r; 28. mars 2005 kl. 22:45.
Hvis noen fortsatt bruker fronter så kan man levere når man vil selvom læreren har satt leveringstidsfrist. Dette gjør man ved å kopiere urlen til mappen man skal uppe i før tidsfristen går ut for så å bruke den når tidsfristen har gått ut. Koselig hvis du vil ha en ekstra helg til å jobbe på oppgaven din med. Fungerte hvertfall i fjor.
man må bruke sikker kommunikasjon for og kunne gå inn på itslearning nå.
vi bruker its: på skolen. Vi sitter på egen pc hele dagen (går GK allmen). Men vi bruker det til alt. får alle beskjeder, leverer alt, har alle lapper og planer der. synes det funker bra jeg. og ja, vi må bruke sikker tilkobling, det er slitsomt da, kan ikke lagre passordet i nettleseren, og så må man bytte så ofte.

men ihvertfall det eneste vi har gjort at bøll der inne er at vi sitter jo på samme pc hele dagen, og det er vår pc som bare vi bruker. så logger på its: om morgenen, og så er jeg pålogget til den ikke vil mer, men pleier ikke å logge ut siden jeg bruker det så mye, så det er ikke så stort problem å sende meldinger fra andres pc'er. ingen bug eller no, men en fysisk glipp av personen. en annen ting: man har sånne prosjektgrupper, om noen har et prosjekt med mye skolearbeid lagret så kan du logge inn på deres bruker og invitere deg selv til det prosjektet. og så sette deg selv som leder. da har du all makt. da kan du slette brukere, slette litt og litt, eller slette hele prosjektet. det er ikke noe vits i å gjøre det, ikke morsomt i det hele tatt. men det er mulig.
Føler ikke at its:learning er noe problem for skolehverdagen. Bruker det bare til å laste opp nødvendige filer, sender meldinger til lærer osv.

Er vel det det er til?
jepp, syns det er bra jeg. vil bare nevne at en gang eksisterte itsern.tk, men det var ikke der nå... www.itslearning.com er så gyselig langt.
HTTPS/SSL er ikke noe problem, bare å bruke Ettercap NG eller noe annet så lenge de ikke detekterer sniffere. Eller bruk dnsspoof for å sende folka til en egen itslearning side som du oppretter som lagrer passord + sender det til den virkelige siden etterpå.
åja akkuratt. skjønte ikke det helt da. men mener du å lage en side like itslearning og så sende dem til den orgentlige etter at de har satt passord som du da får. men altså, dette vil vel ikke funke om de går inn på den sikre siden. for da må man vel få det godkjent av noe med sånn sikkerhetssertifikat og greier. men vet ikke helt om jeg skjønte det du skrev. hadde blitt glad om du hadde giddi å skrivi det på "norsk"...
Husker vi brukte fronter på VK1 IKT, Login var ikke kryptert og klasserommet var på ett hubba nettverk så endte opp med at jeg sniffa login til alle i klassen =)
▼ ... mange måneder senere ... ▼
Sitat av hysing
Halo ! hva er det derer maser med? de fleste litt gjennomførte sider har såppas med sikkerhet at det ikke er noen hull i dem.
Vis hele sitatet...
Bullshit, det er alltids sikkerhets hull, det er bare om noen er smarte nok til å finne dem
Sitat av yeey?
Bullshit, det er alltids sikkerhets hull, det er bare om noen er smarte nok til å finne dem
Vis hele sitatet...
Hva i helvete er vitsen med å si det NÅ???
På Vardafjell VGS (Haugesund) ble det masse styr i media da en bekjent av en bekjent av meg fant ut passordet til en av lærerene og derfra forandret karakterer på noen personer inne på It's Learning..
ZyPreXa: Karakterer blir fortsatt skrevet ned i ei bok, tror ikke det er lov til å kun ha de lagret elektronisk..
▼ ... over en uke senere ... ▼
Bruker it's learning på skolen vi og. Alle anmerknigene er der, så det ville vært kjekt å få tak i passordet til en lærer.
hmm, lurer på om man kan gjøre no med fraværet via lærerens konto, jeg vet de kan gjøre om timer til dager, kanskje de kan fjerne fraværet også. På vår skole blir alt fravær ført via it's learning.
Det hadde jo vært litt gøy å funnet ut av det. *kremt har litt mye fravær pga "sovedager" *

Cybergasm burde da kunne hjelpe oss litt her ^^
eller hva cyber?
Sist endret av Jumbo; 18. november 2005 kl. 23:28.
Hvis man f.eks. har 4 økter fravær på en dag, kan man sette hele dagen som EF (elevfravær) og da telles ikke fraværet.. Det må lærere ofte gjøre når vi har vært på sesjon. For da skal man ikke fravær være ført opp.. ikke gyldig engang.

Kontaktlæreren mi gjorde dette. Nå har jeg ikke noe fravær.
DiSaPPoInTeD HoRsE
Cappy's Avatar
Sitat av zwifty
hmm, hva går systemet ut på ?
Vis hele sitatet...
Brukte Its-learning på VGS og det eneste vi gjorde da var å svare på spørreundersøkelser og mota noen ytterst på lekser. Det var ikke noen poeng å bruke det fordi ingen lærere engasjerte seg og det var totalt unødvendig, spesielt på elektro.

På Noroff bruker vi det hele tiden, vi får utlevert alle oppgaver derog kan sammenlikne modellene vi lager opp mot bildene på nettstedet. Its-learning blir også kontinuerlig bruk av alle webstudentene til Noroff, snakka med en fyr nede i Brasil som studerte gjennom Its-leraning, han dro til Oslo en gang i året for å ta alle eksamnene..

Av Luvit og Its-learnign synes nå jeg at sistnevnte er best..
Very Important Fabulist
aybara's Avatar
Som noen nevnte lenger oppe bruker NTNU It's learning. Vet noen om det er mulig å få tilgang til andre emner (fag) enn de man egentlig skal ha tilgang til? Universitetet legger nemlig ut mye forelesningsstoff for de som tar faget over nettet. For en som ikke alltid gidder å møte opp til forelesning kunne noe sånt vært fint å fått med seg. Desverre koster det et par tusen å få tilgang til dette, og det er omtrent et par tusen mer enn jeg kan tenke meg å betale.
▼ ... over en uke senere ... ▼
Jeg fant fort en bug i skolesystemet jeg er på... Jeg kunne gå inn på lærer mapper se på dokumenter, slette dokumenter jeg kunne gjøre det jeg ville inne på lærerenes mapper..
Jeg skal ha hjemme-eksamen på It's learning neste uke
Sitat av windozer
Jeg skal ha hjemme-eksamen på It's learning neste uke
Vis hele sitatet...
Åh, det vil jeg også ha
Du kan jo sitte der med alle lærerbøkene forran deg + internett tilgjengelig!
Kan umulig gå galt på prøven da og skolen kan vel umulig sende en inspektør hjem til alle i klassen din!
Hvilket fag skal du ha eksamen i?
Prosjektrettet systemarbeid.
Eksamen er en hjemmeeksamen som foregår ved egen PC eller på Pol-laben. Den åpner klokken 10.00 og stenger klokken 11.00 (med noen minutters slakke fordi ikke alle klokker går likt). Eksamen består av to deler A (flervalgsspørsmål) og B (korte tekstspørsmål) som dere kjenner fra de individuelle øvingene i faget.
Sitat av remius
Jeg fant fort en bug i skolesystemet jeg er på... Jeg kunne gå inn på lærer mapper se på dokumenter, slette dokumenter jeg kunne gjøre det jeg ville inne på lærerenes mapper..
Vis hele sitatet...
Ja, bruker du It's Learning?
Hvis ja: Kva er buggen?
Hvis nei: Okei.
▼ ... noen måneder senere ... ▼
Sitat av hakkon
jepp, syns det er bra jeg. vil bare nevne at en gang eksisterte itsern.tk, men det var ikke der nå... www.itslearning.com er så gyselig langt.
Vis hele sitatet...
Du kan alltids bruke www.itsern.com
▼ ... mange måneder senere ... ▼
En venn av meg har gjort noe med kontoen sin som gjør at internett klikker..
han har skrevet som personlig beskjed med store røde bokstaver" HAHA OM 5 SEKUNDER KLIKKER INTERNETTET", og så klikker det faktisk!! får "ikke send" feilbeskjed...
Hvordan får man dette til?
Sitat av cspace
HTTPS/SSL er ikke noe problem, bare å bruke Ettercap NG eller noe annet så lenge de ikke detekterer sniffere. Eller bruk dnsspoof for å sende folka til en egen itslearning side som du oppretter som lagrer passord + sender det til den virkelige siden etterpå.
Vis hele sitatet...
Brukte Ettercap på skolenettet vårt i fjor
Sniffa hele skole-fylkesnettet (nord-trøndelag).
IKT-avdelinga vår er så nabbs at de ikke merka det engang :P
Herregud.

Jeg leker meg i friminuttet nå.. og gjett hva. Jeg har funnet noen XSS-hull på noen minutt. Deriblandt den som vennen til B0m[et eller annet piss] sin venn hadde funnet. Det var visst så vanskelig at du trengte å skrive HTML i emnet på meldingen.

Litt teit egentlig, ettersom det er mulig å stjele sessions til hvem som helst... Man kan liksom velge...

Nei fy faen, dette er latterlig. Det er samme hullet om du lager et nytt prosjekt. Skriv inn HTML istedet for tittelen på prosjektet.

Its-Learning er teit.

Og det er forøvrig et par hull jeg ikke tør si her fordi hele greia sikkert hadde krasje, og folk hadde tjent seg latterlig rike på salg av epostadresser.
Sist endret av Torstein; 13. september 2006 kl. 13:09. Grunn: mer info...
Prøvde det med html i enme feltet og funka fjell! brukte html koden som videre sender deg til en annen side. Dette resulterte i at når personen logget på dukket sol.no opp i itslearning og brukeren kunne ikke gjøre noe! For å løse problemet sendte jeg en ny melding hvor det stor at siden skulle videresendes etter 10 sekunder slik at man rakk å slette meldingene..
XSS-injection via e-post er *ekstremt* alvorleg, og du bør tipse levrandøren om problemet, eventuelt poste på Full Disclosure og håpe på at det blir snappa opp.
Sitat av slashdot
XSS-injection via e-post er *ekstremt* alvorleg, og du bør tipse levrandøren om problemet, eventuelt poste på Full Disclosure og håpe på at det blir snappa opp.
Vis hele sitatet...
Amen.

Jeg håper de ikke skyter meg.

Noen som har gjort det før
Å Rapportere til Vendor er Rett Ting(TM), og ikkje straffbart. Antakeleg vert dei glade for meldinga.
Euhh, går det ann å slette prosjekter man har laget? Nu blir jeg sendt til VG hver gang jeg åpner it's learning. :P


--

det fant jeg ut.
Sist endret av Zahremar; 14. september 2006 kl. 18:48.
Prøv å få noen til å sende deg en melding hvor det står at du skal bli sendt til en side etter 30 sek eller noe. Så sletter du både meldingen og projektet innen den tiden..

EDIT: Så ikke editen Sorry
Jeg har fått svar nå, og vet ikke helt hva jeg skal tro.

Det var visst opp til admin på den skolen det gjaldt å sette sikkerhetsnivået. Og om sikkerhetsnivået var høyere, ville sårbarheten være fikset.

Så det er opp til hver enkelt systemeier. =/

Jaja.. de får holde på...
Litt koslig å lese hvilke hull som er funnet når man selv er system-ansvarlig på sitt område (også kjent som arbeidet)... Hihi (:

Men så lenge ingen bruker noen 'hull' imot meg (ikke det at jeg tror u.skole elever skal klare det med det første, vaffal ikke noen av de her på skolen) så er det greit for meg at man finner slikt. Blir sikkert elev engang igjen jeg og. Thihi
HTML-script via Emnefeltet i meldinger er alltid koselig, men jeg sliter å få et "window.close" script til å funke. Har brukt det samme vidresendings-scriptet som Andersf, men syns det hadde vært enda kulere hvis det funka med window.close script. Noen som har noen forslag?
funker den html greia ennå? hva må jeg skrive hvor?