EduVE:BAT三巨头沦陷之淘宝篇!淘宝同学全站收费视频可免费下载,安全性存疑!

淘宝同学封面图N2

网站介绍:

      淘宝同学作为淘宝主导的在线教育频道,主要是将优质的平台商、机构、教师、课程等资源聚集,走2B+2C的混合型平台模式。一方面,机构可在上面提供直播教学;另一方面任何用户只要有一技之长,都可在“淘宝同学”发布课程,或者申请在线直播权限。

     作为淘宝主导的视频资源平台,因为淘宝网的关系,直接吸引了众多的网校机构大量涌入。各家机构希望通过淘宝直接出售课程的方式来更加快捷的传输知识,同时获取利益。因此数据安全问题尤为重要,直接关系了销售机构的经济来源。那么淘宝网在数据安全方面是否真的尽心尽力,数据是否安全呢?今天让我们一起来分析,见证!

同样我们利用搜索引擎来判断淘宝同学的数据总体安全情况,是否存在泄露破解的可能性.

淘宝同学-搜索

通过搜索,在搜索关联以及搜索第一页结果中,

我们可以发现淘宝同学视频数据还是存在着被下载的可能,数据可能已经被破解下载

那么我们就可以开始正式进入分析环节了,进入淘宝淘宝(淘宝教育),选择一个收费视频进行研究试试

http://i.xue.taobao.com/list.htm?page=1&orderType=2,按价格排名,

最近股票大热,就选一个价值不菲的股票教程作为分析对象好了

http://i.xue.taobao.com/detail.htm?spm=a2174.7365761.39b9.132.SM9U5t&courseId=30259

淘宝同学-列表1

淘宝同学-试看

我们可以发现,课程提供了一个试看,具有试看时间限制,到达试看时间后,将弹出报名窗口

那么既然可以试看一个视频,那么我们就从试看视频入手,看看能不能从试看视频找到收费视频突破口

通过分析,我们获取到一串可用的api接口,我们进入看下

淘宝同学-视频信息1

通过以上xml,我们可以发现一些数据,包含了 videoid,封面图,下载地址,文件大小等信息

那么就这么简单?直接给出了flv地址,我们是不是就可以直接下载了?试试

淘宝同学-读取 淘宝同学-没那么简单

没那么简单,淘宝还是比较聪明的,进行了校验,显示无下载权限?难道和这个地址没啥关系?

还是回到页面继续分析分析吧。毫无疑问,既然可以播放肯定是调用了这个flv地址

经过分析我们发现了一些端倪。刚才的flv地址是没有错的

淘宝同学-分段分析1

我们再来下载试试

淘宝同学-可以下载了

可以下载了,看来是分段处理了文件,

根据我的分析经验,我们就可以根据flv地址,视频大小等信息伪造出下载地址,如下

淘宝同学-分段下载

以此类推,我们只要伪造地址到视频大小即可

既然数据我们已经下载下来了,我们来看看视频是否加密呢?我们用hex工具分析

淘宝同学第一段

我们下载了第一段,可以直接观看,看来淘宝也不是神话,居然没加密,虽然不完整,但是可以看

我们继续下载我们伪造的下载地址,经过下载,我们发现从第二段开始,是无法直接观看的

淘宝同学-剩下片段

根据我的数据结构知识,我试着处理组合

淘宝同学-合并playing

居然就播放起来了,时间也可以观看到20分钟了,那么说明我们的思路是对的,

以此类推,我们继续伪造下载数据合并,最后的结果如下

淘宝同学-在线时长

至此,试看内容就这么被分析下载出完整数据了!那么剩余的收费视频操作一致,同样可以被下载

为此,我研究分析写出来一个简易的工具,用来更加直观看的说明淘宝数据安全问题

淘宝同学-tool1

视频下载完成,最终呈现效果如下图示

淘宝同学-final1

 

———-等级评价:(满分5颗星)———-

淘宝同学课程内容:★★ 

淘宝同学数据安全: 

淘宝同学认知度: 

淘宝同学总体评价:

————————————————————————————

注:淘宝同学的视频服务器寄托淘宝的技术优势,为自主研发,无其他视频服务商。

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:BAT三巨头沦陷之淘宝篇!淘宝同学全站收费视频可免费下载,安全性存疑!

赞 (5) 评论 (0) 分享 ()