EduVE:再谈建讯教育网校数据安全,全站数据仍可被解析下载

建讯封面N2

网站介绍:





      
建迅教育隶属于北京建迅网天科技有限公司,下辖60家直营分校,146家加盟分校,分校总数达206家,拥有建迅教育网、建迅职业教育在线、建迅英才网、建航网四个网站。专注于建筑类执业资格考试辅导、建筑类学历教育、建筑类岗位证书培训、建筑类人才中介四大核心业务。

近年来,建造师行业异常火爆,不亚于公务员乃至高考场面。一来是因为考证后收入丰厚,二来考证难度很大,成功率很低,这就造就了考生不断蜂拥,同是也应运而生了各种有关建造师的培训机构。建讯就是其中一家比较大型的专注机构。

近期有热心网友对我们之前了解并评测过的建讯网校,数据安全情况提出质疑,认为无法试听就意味着安全,那么事实是否到底如此?

今天我们重新梳理思路切入分析,是否无法试听就无法下载,并借此评测文章来校验这几个月来,建讯网校在数据安全方面是否有所改观。

我们就以此最新课程链接作为测试对象,http://www.jianxun.net.cn/xkst/list-484.html

建讯0 1建讯02    

从上述截图中,我们得知该课程包含了10个课时,其中试听课时为1,2剩下的无法试听

根据之前的文章评测思路,我们下载其中任意一个试听课程如下

试听 观看

那么剩下的无法试听的如何分析呢?其实很容易,因为建讯网站在调用某视云的api时候并未做验证

导致可以被无线循环post枚举,从未找到某视云的两个重要参数,UU与VU

tool 1

如何找寻此UU与VU参数,这里不做过多讲述,可以从别的文章或搜索引擎中找寻各类线索

只要得到UU与VU参数,那么整个某视云的加密体系也就意味着直接跳过

无论是通过m3u8协议还是通过其他思路,均可下载到其他无法试听的课程

收费收费 观看

 

本网站公开发布的所有文章仅研究安全漏洞可行性,不提供漏洞细节、更不会提供破解工具。 

 

———-网校等级评价:(满分5颗星)———-

建讯教育课程内容:★★ 

建讯教育数据安全: 

建讯教育认知度:   

建讯教育总体评价:

—————————————————

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:再谈建讯教育网校数据安全,全站数据仍可被解析下载

赞 (1) 评论 (0) 分享 ()