EduVE:3D云课在线教育独家安全评测,视频安全深入分析。


3d-1

 

网站介绍:

    3D云课是3D世界网旗下的在线教育平台,隶属于温州中灵网络科技有限公司。3D云课,旨在让国内的3D设计师能轻松的学习最新3D软件应用技术,在家、在公司、在学校、在旅途都随时随地学习。方便大家是我们最大的追求,同时我们也一直在努力打造中国工业3D软件在线教育第一品牌。

 

第一步:分析试看视频,了解是否托管,加密等 http://ke.3dsjw.com/course/139/tasks

解密流程

查看试看视频,经过分析,可以很明显的发现视频进行了托管,厂商为七牛云(即edusoho网校体系),采用的是hls切片方案

3d-2

3d-3

我们试着根据此m3u8地址,进行访问,却发现再次访问时,提示404了,说明七牛云对数据进行了校验,那么如何突破这种m3u8地址的随机限制呢?

3d-4

但是我们发现虽然hls地址随机变化,但是秘钥根据clefurl拼凑出固定的秘钥,并且是明文字符,并没有加密(这种机制对七牛云旗下edusoho网校通用)

3d-7

如何找到随机变化的m3u8来源呢?其实很简单,我们只要找到m3u8的来源就可以了,顺藤摸瓜,找到了视频的真实播放地址,并在****中发现了m3u8的存在

3d-5

3d-6

获取到m3u8之后,剩下的就是下载了 http://ke.3dsjw.com/hls/*************cJcXb8eVYgMI.m3u8 

前面我们已经知道是hls协议,并且秘钥没有加密,是明文16字节,那么直接用现成工具即可下载,下载如下所示!

down

3d-9

那么现在要做的就是如何分析出收费课程的m3u8地址,然后套用之前的思路即可下载

http://ke.3dsjw.com/ap*******ssons/******4?token=***6d*&time=140************2

http://ke.3dsjw.com/map***************ourseLessons?courseI******39

经过分析,我们抓取到部分可用的api接口,分别是课程列表和视频信息接口,从而实现收费课程下载

 

3d-10

到此我们对3D云课下载部分就分析完成了,可以发现任意视频均可被完整下载观看,难度不高,主要是找到m3u8来源及保存key即可

至于是否存在观看漏洞,我们并没有进一步分析,希望3D云课加强api验证,也希望七牛云加强对hls秘钥的保护,单独校验时效性是不安全的。

 

本机构评测文章仅作技术研究,细节不予公布,也不会发布任何相关工具。

 

———-网校等级评价:(满分5颗星)———-

3D云课教育网校内容:

3D云课教育网校数据安全:

3D云课教育网校认知度:

3D云课教育网校总体评价:

—————————————————

请3D云课教育网校注意保护贵站的数据信息安全

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

 

———————————————–

3D云课评测需求

网校名称:3D云课

网址:http://ke.3dsjw.com/

联系方式:QQ6******6

细分领域:all

是否愿意将检测结果公开?:愿意

检测方向:课件安全

———————————————–

未经允许不得转载:eduve.org » EduVE:3D云课在线教育独家安全评测,视频安全深入分析。

赞 (6) 评论 (0) 分享 ()