EduVE:中博诚通/财萃网 漏洞百出,数据全盘皆失,安全问题不容忽视

财萃

网站介绍:

       经过十年的教育沉淀,北京中博新视网络教育科技发展有限公司重磅推出财萃网(www.caicui.com),并在2014年以全新面貌和理念重装上线,专注于泛财经网络教育。依托于战略合作伙伴优质的地面财经教育资源,财萃网拥有152位专业师资,遍布全国的43个统一师资、统一管理的直属分校和84所合作高校。产品涵盖ACCA、CMA、CFA、AFP、CFP等多个财经专业认证课程,财经职业技能课程,以及财经专业人士后续教育课程。财萃网整合精品网课、公开课、在线直播、财经题库、专业论坛、APP应用等平台资源,致力于为财智精英提供优质、高效、便捷的培训服务,和陪伴、引领、成长的U+(优加)解决方案,打造一流的泛财经网络学习平台,财智精英第一课

 

http://news.sina.com.cn/o/2015-11-04/doc-ifxkhchn6059730.shtml

就在昨天,互联网安全峰会闭幕,网络安全问题更加凸显,在线教育作为互联网部分,安全问题同样存在。

今天我们来找出问题的在线教育机构为财萃网校,网校内容雷同之前提到的高顿网校

财萃1我们选择任意课程进入,课程均价值不菲

财萃2

课程提供了课程介绍试听,查看播放器属性可知为国内某云视频托管商,该托管商漏洞我们在之前的文章曾多次提到,这里不再重复前面的介绍,直接给出结果

财萃3 财萃4

到此下载方式已经明确,如何突破整个课程构架,获取全部课程呢?

在前面的文章中提到过,只要获取到某个包含特殊字符的参数即可下载,跳过课程网校,直接从源抓取数据

在高顿的文章中,我们是透过视频列表来抓取该参数的,到目前财萃网未发现任何课程列表

在经过长时间的分析后,我们得到一串有用的带有时间验证的api接口,再经过2次跳转后,得到视频参数

api v2

最终得到的参数数据如下

bokecc

既然已经有了视频参数,那么我们就可以根据某视频云平台的通用算法漏洞进行数据下载并解密了

pcf

final

本网站公开发布的所有文章仅研究安全漏洞可行性,不提供漏洞细节、更不会提供破解工具。 

 

———-网校等级评价:(满分5颗星)———-

财萃网课程内容:★★ 

财萃网数据安全: 

财萃网认知度:   

财萃网总体评价:

—————————————————

请财萃网校的管理员注意保护贵站的数据信息安全。

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

 

未经允许不得转载:eduve.org » EduVE:中博诚通/财萃网 漏洞百出,数据全盘皆失,安全问题不容忽视

赞 (3) 评论 (0) 分享 ()