EduVE:中大网校收费课程惊现下载漏洞,建造师课程可被任意传播

中大封面网站介绍:

      中大网校隶属于中大英才(北京)网络教育科技有限公司,位于中关村科技园区丰台园,比邻总部基地。自公司成立以来,中大网校凭借对互联网商务发展的洞察力、领先的模式、先进的经营理念以及强大的资源优势,一直引领行业的商务发展,打造了中国最大的职业教育增值信息和商务平台,覆盖了财会财税、医药卫生、建筑工程、对外贸易、金融法律、外语学历等各行各业的教育培训。

 

去年我们分析过中大网校,发现其课程可被任意枚举下载(http://www.eduve.org/evaluating/1959)

那么接近一年过去了,它现在的课程是否有了改进,数据是否安全呢?

我们进入官网,任意选择一个课程进行分析,如下课程

http://users.wangxiao.cn/player/Index.aspx?Id=d732618f-74e6-4026-a3b4-7451a47cbe71

3

经过分析,中大网校已经不再用自己服务器存放视频数据,而是采用了视频托管的方式

leshi

既然是采用了该视频托管厂商,那么我们就可以依托之前掌握的漏洞,进行数据解析

找到对应的视频UU以及VU参数即可

leshi2

结合该漏洞api接口,进行源文件下载地址的获取

leshi3result

那么无法试看的课程如何处理呢?我们只需要找到所有视频的uu,vu参数即可

2

 

经过简单分析,我们抓到一个接口,进行数据替换,最后获取到全部参数

list

 

从而实现批量解析渗透出源文件下载地址..

result2

 
总的来说,中大网校采用了视频托管cdn的方式,使得课件播放稍微流畅了
 
但是安全性有所降低,之前需要采用枚举的方式一个个采集,而现在可以一键批量分析数据!
 
 
 
本网站公开发布的所有文章仅研究安全漏洞可行性,不提供漏洞细节、更不会提供破解工具。 
 
 
 

———-网校等级评价:(满分5颗星)———-

中大网校内容:★★★

中大网校数据安全:

中大网校认知度:★★

中大网校总体评价:

—————————————————

请中大网校的注意保护贵站的数据信息安全

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:中大网校收费课程惊现下载漏洞,建造师课程可被任意传播

赞 (0) 评论 (0) 分享 ()