|
|
站介绍: 要想选择值得信赖的在线教育直播系统第一点需要考察其是否具有完善的组织制度和详尽的内容教导计划以便于日常学习工作的开展。物超所值的在线教育[url=http:///www.baijiayun.com/]视频教育软件[/url]在组织架构上拥有完善的组织制度和相应的日常管理规范以便于实际工作的有序进行和展开。同时值得信赖的在线教育直播系统还针对不同的教育内容进行了详尽的教导计划以保证课程可以科学合理的开展。[align=center]![]() [/align]
赶考是专业的中小学在线教育平台。主要针对中小学生的课程,包括了同步课程、知识点、专题课程及家庭教育等素质课程。课程内容主要由全国知名出版社及教研员参与研发,各大重点小初高一线名校教师执教的直录播课程。同时赶考旗下还有赶考学堂,赶考云教室,赶考校,赶考盒子,赶考优学等一些列学习子品牌。
首先分析试看课程,.//我们从试看课程可以看到,该站采用了视频云托管的方式,至于是哪一家,看图应该可以得出结果。
该托管平台在之前的评测中已经分析过,就是获取信息,得到对应的下载地址,分析开源特殊格式的加密视频即可。正好我们来看下,该平台的加密是否已经升级
://.//?=CE******E&;=DBCECDC&;*******C%C%C******=&;=
可以明显看到,之前的算法依旧有效,看来该平台并没有在加密开源方面做出升级,这个问题具有通用性。
提醒下采用该平台的校机构,都应做好防范,确保不泄露,否则将是全站系列的安全问题。
现在要做的,就是找到非试看课程的,从而拼凑出信息。我们看下试看的是怎么来的?
居然如此简单,看来该校的程序员要检讨下了,用这种方式传递参数。
当然收费的并没有这么简单,做了防范。但百密一疏,一处调用未做校验。
根据视频的枚举就可以得到真正的,从而获取到了我们需要的所有课程的。
&;CEEE&;, &#;DBC*****CDC&#;, &#;&#;,&#;&#; ,
&;CEEE&;, &#;C***ECDC&#;, &#;&#;, &#;&#; ,
&;CEEE&;, &#;ACA***CDC&#;, &#;&#;,&#;&#; ,
*************************我们随意下载一个无法免费观看的视频做测试,可以发现收费课程就这样被泄露了
希望赶考在代码调用关系上做好更好的防范机制,检测每一个可能有漏洞的接口,也希望视频云平台在加密方面做的更好,从底层保护好视频安全。
本机构评测文章仅作技术研究,细节不予公布,也不会发布任何相关工具。
- |
|
发表于 2018-12-8 17:46:16
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享