EduVE:会计巨头沦陷篇-中华会计网校全站数据可被下载,行业标杆岌岌可危

 

chinacc

网站介绍:

中华会计网校是正保远程教育(美国纽交所上市公司,股票代码:DL)旗下知名主打品牌网站之一,中华会计网校是目前国内权威、专业的超大型会计远程教育网站,中华会计网校同时也是联合国教科文组织技术与职业教育培训在中国的试点项目。国际四大会计师事务所员工的网上培训基地,十佳网络教育机构。拥有注册学员数百万。
据国际权威网站排名统计机构数据显示,中华会计网校全球网站综合实力排名500强,在中国教育类网站中名列前茅,网校成立至今,以其雄厚的师资力量、领先的课件技术、严谨的教学作风、极高的考试通过率,为我国财政系统培养了数百万名专业优秀人才,被广大会计人员亲切地誉为“会计人的网上家园”。
 
正保远程教育集团,作为国内第一家在纽交所上市的远程教育公司,我相信除了课程内容丰富外,它在课程版权保护方面一定也是相当严苛的,否则作为出售课程为主要经济来源的网站,很可能会因为数据泄漏导致整个网站的业绩下滑,最终失去优势,走向黯淡!
那么正保教育集团在数字版权保护方面是否真的做的足够好,是否存在被破解卸载泄漏的问题呢?
今天我们就来一步一步的剖析它!
列表

我们进入任意课程,由于课程几乎都提供了试看,那我们就从试看课程入手

试听试听 播放

在课程播放后,我们调试过程中并没有发现任何的下载地址或之前分析过的视频托管商的痕迹

那么数据释放到哪去了?经过思考,我们觉得可能是rtmp,从网页源码中找寻蛛丝马迹

rtmp

既然是rtmp,就想到了之前做的rtmp协议分析以及圣才教育网

那么我们就从之前分析过的类似方法入手,进行下载测试!

rtmp 探测 rtmp down

下载后我们发现之前的思路完全可行,那么试看视频就这么容易的下载了!

试听观看

 

我们来分析下rtmp的响应头

rtmp 响应头
我们可以发现该响应头主要为url和playpath,只要稍作修改应当可以伪造
经过伪造rtmp协议头后,我们任意枚举下载了一节课,呈现效果如下
下一节
从上面的过程中,我们可以知道隐藏的收费视频可以被枚举出来进行rtmp下载
那么能否有更加直接的方式抓取到隐藏的课程列表和id呢,一旦抓取成功就无需枚举,直接定位下载
经过很长时间的分析调试,我们抓取到一串POST传参,得到了我们想要的列表和id
fenxi
我们可以从分析结果得到信息,以此来构造rtmp实现伪造下载,就以为2601为例
下载最终效果如下
2601
至此正保教育旗下 中华会计网校全站视频分析完成,可以发现难度主要在于rtmp的伪造
 

———-网校等级评价:(满分5颗星)———-

中华会计网校课程内容:★★ 

中华会计网校数据安全:

中华会计网校认知度:★★ 

中华会计网校总体评价:

—————————————————

注:中华会计网的课件服务器为自建,依托rtmp协议

请正保教育集团的管理员注意保护贵站的信息安全。

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:会计巨头沦陷篇-中华会计网校全站数据可被下载,行业标杆岌岌可危

赞 (3) 评论 (1) 分享 ()