【漏洞挖掘实战篇】论文查重暗藏玄机,可能你的论文被卖了你都不知道
导语
前两天看到一篇文章,说“个人论文被卖了”,目前论文查重服务水太深,而且已经造成了必定规模的产业,暗渠密布,各类骗局和信息安全问题层出不穷!
原理就是当你把论文上传以后,有些网站可能本身作一个备份,而后倒卖,也有可能网站是被黑客攻击致使信息泄露,而后他们经过专业人士对论文作一些修改再转手出卖。因此当你修改好论文准备提交的时候,你会惊奇的发现有一篇跟本身极其相似的论文在不久前已经发布了。
这种问题想一想均可怕,因此出于正义我准备把这些网站找出来,给你们提个醒。我找了两个还算权威的论文查重网站“调查”了一番,发现他们真的有信息泄露漏洞,如下就是我挖掘的整个过程。web
声明:本篇文章的目的在于让你们认清网站论文查重存在的潜在危险,不要试图破解本文技术或者利用笔者发布的其余文章中的技术擅自破坏别人的网站,不然出了问题本身负责。同时为了避免对文章中涉及的网站构成影响,我不会公布网站,至于他们的漏洞我也提交到了应急响应中心,他们很快便会解决的,因此你们放心
若是你们对本身的查重报告不放心能够到官方平台检测一下
漏洞挖掘过程
首先是信息搜集
这没什么好说的,直接百度找网站,这种网站不少我随便找了一个数据库
进去以后还要登陆真是麻烦
安全
而后检测漏洞
先用burp抓包扫一扫,看能不能扫到漏洞
扫半天也没啥突破,先让他扫着吧,我再作个指纹识别,看有没有突破口,嗯查到了网站的服务器信息、域名信息以及ip信息
服务器
第一个网站发现漏洞
以上工做都没有什么突破,而后我把目光转移到了文本输入框上,把能输入的框都放上了简单的弹框标签
结果很轻松的就成功了,一点绕过都没有
这时burp也扫完了,发现还有两个高危漏洞
cookie
第二个网站发现漏洞
第二个网站也基本如此,都是简单的标签就能够弹窗
svg