EduVE:号称对学员最负责的京华网校,数据安全问题却迫在眉睫,怎么做到对学员负责?

jinghua-1

网站介绍:

    京华网校是由著名英语考试辅导专家张可华老师创办的一所集面授培训、在线教育、教材发行于一体的综合性教育培训机构。20年来,京华网校专注于英语学习考试的教学研发。形成职称英语考研英语学位英语、四、六级,中、高考等一系列面授、在线教学课程。多项课程在国内英语教学中处于领先水平。

 

解密流程

    直接开始根据流程图分析试看课程,http://www.jhwx.com/goods-2.html

jinghua-2

jinghua-3

分析后,我们可以发现以下几点.1.数据并未加密,直接为flv文件,下载后可直接观看  2.数据保存在自身服务器中,非托管方式,数据源为edutv8(其实就是京华网校的另外一个名)

3.下载地址存在可猜测性,如http://vedio.edutv8.com/netkc/UploadFile/2016zc/mt/2016-bksm-01.flv

那么这个地址除了靠猜测外,还有别的方式可以得到吗?那么就需要追本溯源,找到flv地址得来源。

jinghua-4jinghua-5

经过简单分析,我们可以发现,来自于一处api调用。当然此api是无法直接访问的,需要带上对应的header和cookies才行.

从上面的api中,我们大致可以发现需要的参数主要为两个,courseid与lessonid,courseid很容易得到,关键是如何拿到当前course下所有的lessonid。

其实很简单,因为我们可以直接从另外一个api中得到,http://cl**s.jhw**.com/course/67/*yong?a=jhwx然后拼接起来就可以了,该api缺少验证,可以直接拼接获取flv下载地址。

最终呈现结果如下

GIF随意下载验证一下是否成功

jinghua-6

      没什么难度,希望该网站加强api校验。

 

本机构评测文章仅作技术研究,细节不予公布,也不会发布任何相关工具。

 

———-网校等级评价:(满分5颗星)———-

京华网校内容:

京华网校数据安全:

京华网校认知度:

京华网校总体评价:

—————————————————

请京华网校注意保护贵站的数据信息安全

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:号称对学员最负责的京华网校,数据安全问题却迫在眉睫,怎么做到对学员负责?

赞 (7) 评论 (0) 分享 ()