EduVE:试看机制利与弊!透过试看机制,下载嗨学网完整高清视频!

嗨学封面

网站介绍:

    嗨学网致力成为世界一流的互联网教育服务提供商,是中国首家兼具学术研发基因与互联网基因的职业教育培训领先品牌,是目前国内最专业的新锐派远程教育平台。嗨学网的培训课程和服务范围广阔,从职业资格考试的学习培训、技能培训,到与执业相关的就业服务,用户遍及全国各地。目前,嗨学网标准化的课程体系,已成为职业培训在线教育领域的模板。

 

进入百度搜索后,我们可以发现嗨学网同样存在数据泄露的问题,已经出现了各类下载信息!

嗨学 百度

 

我们进入官方网站后,点击课程,提示我们需要手机号才能观看

经过分析后,我们可以发现仅做了简单的手机位数判断,无需真实手机号即可观看

已注册

http://www.highso.cn/indexExamTest/setCustomerIntoSession.do?phoneNum=13812348765&webFrom=null 我们找到一串验证接口,调试如下

当返回existed存在的时候,不可观看,当显示success的时候即可观看视频(手机号均为随机输入)

已注册

未注册

以上内容我们可以判定为一个简单的验证漏洞,这里不做过多深入检测!

进入课程观看后,我们发现课程提供了5分钟的试看时长,当超过5分钟的时候会提示完善信息

但是数据依旧会缓冲加载,同样存在试看机制逻辑错误!应当可以跳过观看完整视频!

试看5分钟

嗨学 缓冲

 
在调试的过程中,我们发现了一串flv下载地址,直接下载flv的时候提示无法识别,做了一定的校验!
包含了两串key值校验,看来嗨学网对视频防下载方面做了一些的技术处理!
 

嗨学 down

嗨学 数据结构

经过一段时间的数据分析,我们发现嗨学网采用了独立的算法!

具体算法为循环数据的20字节异或,解密完成,播放结果如下


嗨学 play

 
至此嗨学网视频解析完成,可以突破试看机制,实现完整视频的下载解密!
 
 

———-网校等级评价:(满分5颗星)———-

嗨学网课程内容:★★ 

嗨学网数据安全: 

嗨学网认知度:   

嗨学网总体评价:

—————————————————

注:嗨学网的课件服务器为自建,故安全技术相对薄弱,算法较为简单。

 

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:试看机制利与弊!透过试看机制,下载嗨学网完整高清视频!

赞 (2) 评论 (1) 分享 ()