EduVE:金融教育沦陷篇之金库网,“金库”也不安全!金库网视频安全分析报告!

topLogoImg

网站介绍:

      金库网是CFP系列认证培训唯一网络服务平台,已经获得现代国际金融理财标准(上海)有限公司(FPSB China)认可,受北京当代金融培训有限公司委托,为广大学员提供从证书培训到持证后继续教育的一站式服务。同时,“金库网”将努力成为您的“金融职场 加油站”,提供财经、金融领域的高含金量的证书培训、岗位技能提升课程和时事热点资讯解读等丰富内容,持续保持您在金融职场知识和业务水平的先进性,并助您拓展财经、金融领域人脉。

      在当今国际环境下,金融行业一直是香馍馍,是许多人抢破头也想进入的行业。该行业仿佛已经成为了高端人士的代表行业,一旦进入就意味着即将带来的是高收入,交际广,人缘好等诸多优势。

该行业线下教育异常昂贵,许多人望而却步,正因为如此金库网便应势推出了诸多网络课程结合部分线下教育,成为金融理财教育的一座资源“金库”。

那么这座“金库”是否真的如金库一样牢靠,其作为生存经济来源的视频资源是否也如金子一般能被牢牢锁住呢?

当您看到这里的时候,我想您也猜到了,金库网可被洗劫一空,因为我们是从事网站安全分析的专业机构。好了,废话不多说了,我们开始分析吧,首先分析试看课程。

解密流程

http://www.jinku.com/learn/learnDetail.action?goodsId=10186 就以这个课程为例,比较有特点,并且课程巨贵,价值万元。

jinku-1

我们可以看到课程并没有采用视频托管的方式,播放流为mp4,可被直接下载,视频源为licaiedu.com,经过查询其实就是金库网的前身域名。

jinku-2

现在要做的是如何找到mp4的播放来源,很容易就能找到其真实播放地址,http://www.jinku.com/*lay/P***ideo.action?path=*****UxtMXdOQQ

jinku-3

播放地址并未做域名等校验,可以直接观看,并且path地址仅仅是简单的编码,结合其播放器解密后就是mp4地址了。

jinku-4

现在的重点就是如何找到收费课程的path地址?原本以为很复杂,至少是post提交参数返回数据吧,但是结果真是闪了腰,原来金库网直接把收费的path地址放在了****中.

jinku-5

随意拿到一个收费的path结合播放地址观看,哇,就这么成功了…太简单了吧,这座金库简直就是把钥匙放在了外面,随便人都能打开一般.

其实就算金库网不把path放的明显,我们也有别的办法来获取,我们可以看流程图,当视频非加密的时候,多半是post或get,还有另外一个办法就是爆破枚举了。

我们可以看下mp4地址的结构,http://videocdn.lica**u3/CFP/Mod******BA/01.mp4

前面是固定的+科目+老师+类型+第几课时,并没有任何的时间戳或sign计算,有没有恍然大悟?直接枚举地址不就好了,这是我们的猜测,我们直接用迅雷或IDM等实战下!

jinku-7

GIFjinku-6

 

到这里,大致就分析完成了,难度几乎是没有的,无论是直接抓取数据还是枚举,都可以实现“盗取金库”,金库网数据就被洗劫一空了.安全性亟待提高!

 

本机构评测文章仅作技术研究,细节不予公布,也不会发布任何相关工具。

 

———-网校等级评价:(满分5颗星)———-

金库网内容:

金库网安全:

金库网认知度:

金库网总体评价:

—————————————————

请金库网注意保护贵站的数据信息安全

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

 

未经允许不得转载:eduve.org » EduVE:金融教育沦陷篇之金库网,“金库”也不安全!金库网视频安全分析报告!

赞 (1) 评论 (0) 分享 ()