EduVE:金融教育沦陷篇之财华国际,两步获取财华国际全网收费课程!财华国际数据安全分析报告!

caihuaguoji01

网站介绍:

      财华国际(Caihua International Education Centre)是专业的国际财会、金融远程教育机构,也是英国ACCA总部授权的黄金级合作培训伙伴,是国内目前唯一专注于ACCA网络教育的培训中心。

 

    在前面的评测中,关于ACCA之类金融教程的课程,我们分析了高顿网校,中博诚通财萃网,金库网,金考网 等相关网校。这些网校都有一定的通性,比如大部分都是采用的某云平台视频托管,都没有对api做校验,数据量巨大,课程价格昂贵等特点。

    说到这些网校,那么他们的竞争对手也比较多,其中知名度大及课程质量不错的还有金程网,财华国际等。今天我们要拿下的就是财华国际。

    解密流程

我们分析试看课程,http://www.chgjedu.net/front/couinfo/254

caihuaguoji02

这个网校逻辑上存在一些问题,或者说奇葩的校验,比如http://www.chgjedu.net/front/couinfo/160 点击试看课程,居然提示 课程被删除或下载,也许登录账号就不会提示了?没有测试.

caihuaguoji03

但是我们点击免费试听,就可以观看试看课程了,奇葩不,什么鬼逻辑,我觉得点击课程标题,如果判断用户未登录,应该跳转到登录界面,而不是提示课程下载或删除,这个不管他!

caihuaguoji04

进入课程后,我们可以很清晰的发现视频采用了托管的方式,并且并没有加密,直接就是flv地址,下载即可观看!

至于这个flv地址如何得到的,我们就不累赘了,因为该平台的评测已经出现过很多次,并且目前也没有修复playinfo调用的问题。只要获取到vid,uid即可构造api实现下载地址的获取!

当点击非试看视频的时候,就回归正常的逻辑了,跳转到登录界面了!

caihuaguoji06

从试看视频中,我们得知了视频采用了托管的方式,那么现在追本溯源,关键问题是要知道vid是如何得到的,其实很简单,有多种方式可以得到,比如****。

那么收费视频的vid在哪儿呢?是不是也可以直接获取到videolist,拿到所有信息呢?怎么拿到呢?我们需要找找有没有相关的api接口。很容易就能找到

caihuaguoji05

然后结合托管平台的通用接口,我们可以得到以下全部数据。

GIF (1)

然后任意选择一些需要收费视频做下载

PS:文件都超级大,平均都在300M以上,小水管为了做测试,下载了好久

caihuaguoji07

 

问-下载财华国际收费课程分几步?

答-就两步(1.获取videolist之某平台的vid和uid 2.结合playinfo信息下载)!

 

本网站公开发布的所有文章仅研究安全漏洞可行性,不提供漏洞细节、更不会提供破解工具。 

 

———-网校等级评价:(满分5颗星)———-

财华国际课程内容:★★ 

财华国际数据安全:

财华国际认知度:   

财华国际总体评价:

—————————————————

请财华国际的管理员注意保护贵站的数据信息安全。

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:金融教育沦陷篇之财华国际,两步获取财华国际全网收费课程!财华国际数据安全分析报告!

赞 (4) 评论 (0) 分享 ()