1 前言

此原创文章, 总结最近参加H3CNE培训过程中, 获取官网的培训材料的经验, 以及从软件设计和安全的角度,对如何保护重要数据,提供一些建议, 供大家参考和讨论.

2 H3C 在线电子教材

(参考: htt去除ps://www.h3c.com/cn/BizPortal/TrainingPartner/TeachingMaterial/TeachingMaterialCertification.aspx)

H3C为大家提供了丰富,而且专业的学习资料, 这次参加H3CNE培训和认证, 官网的培训资料起到非常关键的作用, 也学习到非常有用的知识.

官网的培训资料只能在线观看, 不提供下载. 对于习惯使用电子书学习的伙伴们, 这一点非常不方便.

注: 下载培训资料需要使用个人的H3C账号登录官网, 官方资料下载后也有个人的水印, 因此 这篇文章不会对H3C培训资料造成泄露或者其他安全风险.

3 H3C培训资料获取

如何才能把这些资料下载下来呢? 基本思路:

1)观察页面 - 判断文档/媒体文件类型
2)分析URL

3)分析页面内容

4)跟踪页面请求和响应

3.1 观察页面

页面展现形式和PDF或者Word文档非常相似, 初步筛选文件扩展名为 .pdf, .docx, .doc.

3.2 分析URL

一级页面:

htt去除ps://www.h3c.com/cn/BizPortal/TrainingPartner/TeachingMaterial/ReadingMaterials.aspx?TeachingID=6e6af5c52aef46d79f6ae432ef5097ae 

二级页面也即文档阅览页面:

htt去除ps://www.h3c.com/cn/BizPortal/TrainingPartner/TeachingMaterial/web/viewer.html?file=https://www.h3c.com/cn/BizPortal/TeachingMaterial/Encrypt/%e6%9e%84%e5%bb%ba%e4%b8%ad%e5%b0%8f%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e7%bd%91%e7%bb%9c_%e7%ac%ac1%e7%ab%a0_%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e6%a6%82%e8%bf%b0.pdf#page=1&zoom=auto,-107,704

以扩展名.pdf, .docx, .doc来过滤, 发现使用URL encode加密的pdf文件.

%e6%9e%84%e5%bb%ba%e4%b8%ad%e5%b0%8f%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e7%bd%91%e7%bb%9c_%e7%ac%ac1%e7%ab%a0_%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e6%a6%82%e8%bf%b0.pdf

观察浏览器地址栏, 明文显示如下文件名称:
构建中小型企业安全网络_第2章_防火墙基础技术.pdf

这得来的简直不要太容易.

3.3 分析页面内容

仔细查看页面, 没有发现下载的按钮, 浏览器页面另存功能也无法下载pdf. 分析应该是页面加载的 javascript 脚本或者相关设置禁用了浏览器显示pdf插件的保存功能.

如何才能保存 pdf 文件呢?

• 思路1: 继续寻找pdf 下载的URL
• 思路2: 使用浏览器开发工具(developer tools/inspect), 找到对应的 js/script/css, 解除对 pdf 插件的限制.

思路1操作:

继续分析URL: viewer.html?file=<url_of_pdf>

浏览器打开新页面, 复制url_of_pdf到地址栏.

htt去除ps://www.h3c.com/cn/BizPortal/TeachingMaterial/Encrypt/%e6%9e%84%e5%bb%ba%e4%b8%ad%e5%b0%8f%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e7%bd%91%e7%bb%9c_%e7%ac%ac1%e7%ab%a0_%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e6%a6%82%e8%bf%b0.pdf

页面显示"保持"按钮, 点击,下载PDF到本地.

思路2操作:

启动浏览器developer tools/inspect, 切换到"</>Elements",

Step1: 删除对页面选择和菜单的限制, 直接删除即可

Step2: 果然不出所料, 在mainContainer div 中, 打印按钮, 保存按钮 是通过 css 样式 隐藏起来

Step3: 删除 "hiddenMediumview pdnone", "下载"按钮被显示出来,只是图标与前面的"保存"不同.

至此,培训资料获取任务完成, 无需再尝试 4)跟踪页面请求和响应.

4 H3C 培训资料的保护机制和问题分析

事实上H3C确实使用相关技术保护培训资料, 防止下载和恶意传播. 例如

1)隐藏下载和打印按钮, 隐藏浏览器右键菜单等等.

2)将PDF每一页转为 base64 图像, 和 纯HTML页面内容.

可是不知什么原因, H3C出现2个不该有的疏忽:

1. 最大的疏忽,也是最不该出现的问题, 就是直接在地址栏URL里 暴露了目标PDF文件的URL, 这个从软件实现的角度看, 应该是个BUG.

2. 对PDF 页面插件, 如果打印, 保存不需要提供, 应该在页面内容中彻底删除. 因为恰恰这些冗余的html代码为数据获取提供了极大的便利.

5 对文档保护的反思:

1)作为软件/服务提供者, 务必在开发,测试时把自己的角色摆在 真实客户的位置, 从客户的角度, 从黑客的角度去设计,去测试, 只有这样才能在源头上尽早的发现问题, 并且采取保护措施避免数据泄露-- 一定不要仅从技术的角度单纯的只考虑功能设计和开发.

2)制定相关软件开发指南, 并且设计相应的检查点和测试用例.

• 禁止在地址栏URL中, 或者 html页面中直接暴漏目标文件URL;
• 删除冗余代码, 不需要或者不想要客户使用的功能, 应该在前端页面中彻底清除;

6 总结

对于数据安全, 千里之堤溃于蚁穴, 人们往往采取厚重复杂的方案,但却忽略了最最基本的防护,从而导致之前的高成本保护机制完全失去了应有的意义.从真实客户的角度, 从黑客的角度出发去设计和开发软件,是数据安全和保护的必要途径.