等保资讯

了解最新等保资讯及等保政策

当前位置:首页>等保资讯>等保资讯
全部 694 等保资讯 540 等保政策 15

某学校的网课平台网站的渗透测试过程与漏洞扫描分享

时间:2022-06-02   访问量:2022
关键词: 网络安全

    许多高校目前都采用某些网络教学平台的网课来部置和考查作业题。做为1个软件工程专业的在职人员,又颇爱分析网站安全防护,墨守陈规地写作业自然不属于我的特点,我们SINE安全收到客户的渗透测试委托,对客户的网络教学平台进行了渗透,与漏洞检测。

 

   雨课堂—破译视频播放速度不可以控制,我院一部分专业科目教师常常在云班课上发表某些“教资源文档”,每看完1个视频播放或文档,都是会被后台管理纪录并得到相匹配的成长值。

 

   首先来1张结果图,因为以前检测过超星学习通,同时播放视频在线观看完毕后的包是行不通的。后台管理的的数据库归根结底就是从前端开发JavaScript哪里传过来的,因此此次确定从前端开发进行下手,同时更改前端开发的值,满足程序逻辑一方面。随意点开1个视频看看具体情况,最下面这条深灰色的bar,是滚动条,看起来像自个做的那类。先点开F12看下具体情况。直扑方向,检查滚动条设计元素,发觉有时件监控器,进行时件侦听源代码,看下功能模块。搜嘎,有注解,看完大学生们就明白了,是个全栈工程师,向下翻一翻。关联前后文,高亮度一部分的源代码功能模块大约就是说:统计已看速度和总速度的百分数,按百分数绘图滚动条,设定现阶段看完视频播放时长.那么既然如此简明扼要,如此就同时ctrl键-C,点开Firefox控制台命令,同时定议1个自变量,将速度调节到9999,启用修改自变量。能够看见,9999显然较长,绘图的滚动条早已超

过了显示屏总宽,期望的实际效果产生。

 

 

  有朋友以前提出质疑,前端开发仅仅 表层,如此后端开发数据库升级了没有?更新一下子看下。很能够,五十分鐘的视频播放,两三分钟全看光了,乐滋滋。优慕课——破译视频播放速度不可以控制 +获得单选题参考答案,首先一部分破译视频播放速度,优慕课相应于云班课而言,就繁琐了一方面。依然先给点视觉冲击结果图。随意点开1个视频播放,依照以前的渗透测试,点开F12,检查滚动条设计元素。前后左右翻了一下子,仅有这一段源代码有时件监控器,并且源代码已被搞混解决,没法浏览。那么既然如此,就同时去程序调试里看下了。翻了一下子文档,看上了PageViewModule.原生js,文件夹名称异常,主要参数和注解更异常。

 

   这一段源代码的逻辑关系相对比较一目了然,大约是如此:假如观看视频时长>=视频播放总长,视频播放速度设定为一百,此判定将会是为了避免标值过大发现异常。假如观看视频速度>=九十五%,视频播放速度设定为一百,此判定将会是为了更好地容错纠错机制。这一段源代码中有一个方式被数次启用:element.rack(),由下个判定前提来说,element.rack().login(1)能够同时把视频播放模式升级为已看完。去控制台命令同时改一下子试一下.element自变量找不到,有几类将会,pageViewModule.原生js将会找不到被同时引入,element将会是1个现阶段修饰符无法打开的静态变量。如此,就下个单步,页面刷新试一下。因为源代码中的多处逻辑推理,前提不建立,没法跳进,如此,我选取在首个判定前下单步,就是说下面的图中的第449行。页面刷新,运作到单步,原生js终止。键入源代码,element.rack().login(1),换行页面刷新看下,后端开发数据库是不是升级很能够,破译成功.针对于目前对网课平台的渗透测试,发现很多问题,这些问题都可能造成学生不好好上课,绕过观看限制,直接显示已完成作业。


上一篇:国家网络安全宣传周开启 既要宣传好网络安全更要做好网络安全

下一篇:明朝万达工业互联网数据安全防护建设方案,全面防护工业数据安全

在线咨询

点击这里给我发消息 等保测评咨询

在线咨询

免费通话

24小时免费咨询

请输入您的联系电话,座机请加区号

免费通话

微信扫一扫

微信联系
返回顶部