EduVE:英盛网课程安全深入分析突破,全站收费数据轻松下载.

1

网站介绍:

    英盛培训网是一个面向全国所有经营管理者、职场人士的内容丰富,操作简便的在线学习及服务平台,为广大用户提供的视频课程可以解决经营管理过程中遇到的任何难题,提升学习者的岗位胜任能力。

  解密流程阔别2年之久,我们再次对英盛网做一次安全分析,希望2年的时间,英盛网有所改善。分析试看课程http://www.yingsheng.com/course-1313.html

我们先根据2年前的思路走了一遍,发现一些接口及算法被封了(过程省略)具体表现是sign算法未变,但是加入了数据库用户验证,只有提交合适的cookie信息才能返回正确的数据

这是增强的方面,就是说按照之前的思路,需要购买课程才能观看下载课程,将之前的无需验证堵住了!那么我们就只能换思路了!

2

我们分析试看课程,可以发现,依旧采用的是托管的方式,并且厂商未变。结合之前的该平台api,很轻松的就可以实现试看视频的下载和解密。

3
5可以发现该平台加密方面,没有太大的改变。现在的关键就来到了以往分析的部分网校思路上,就是如何找到英盛网收费课程存放在该平台的vid!

我们分析了试看课程的观看地址,http://www.yingsheng.com/course/video-7032 发现里面包含了该vid 950650352E7A0CFC9C33DC5901307461,

那么收费课程的怎么得到呢?很容易,我们只要伪造观看地址就可以了!

6

 

本网站公开发布的所有文章仅研究安全漏洞可行性,不提供漏洞细节、更不会提供破解工具。 

 

———-网校等级评价:(满分5颗星)———-

英盛网网校课程内容:★★

英盛网网校数据安全: 

英盛网网校认知度:   

英盛网网校总体评价:

—————————————————

请英盛网网校的管理员注意保护贵站的数据信息安全。

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:英盛网课程安全深入分析突破,全站收费数据轻松下载.

赞 (5) 评论 (0) 分享 ()