导语
前两天看到一篇文章,说“个人论文被卖了”,目前论文查重服务水太深,而且已经造成了必定规模的产业,暗渠密布,各类骗局和信息安全问题层出不穷!
原理就是当你把论文上传以后,有些网站可能本身作一个备份,而后倒卖,也有可能网站是被黑客攻击致使信息泄露,而后他们经过专业人士对论文作一些修改再转手出卖。因此当你修改好论文准备提交的时候,你会惊奇的发现有一篇跟本身极其相似的论文在不久前已经发布了。
这种问题想一想均可怕,因此出于正义我准备把这些网站找出来,给你们提个醒。我找了两个还算权威的论文查重网站“调查”了一番,发现他们真的有信息泄露漏洞,如下就是我挖掘的整个过程。web
这没什么好说的,直接百度找网站,这种网站不少我随便找了一个数据库
进去以后还要登陆真是麻烦
安全
先用burp抓包扫一扫,看能不能扫到漏洞
扫半天也没啥突破,先让他扫着吧,我再作个指纹识别,看有没有突破口,嗯查到了网站的服务器信息、域名信息以及ip信息
服务器
以上工做都没有什么突破,而后我把目光转移到了文本输入框上,把能输入的框都放上了简单的弹框标签
结果很轻松的就成功了,一点绕过都没有
这时burp也扫完了,发现还有两个高危漏洞
cookie
第二个网站也基本如此,都是简单的标签就能够弹窗
svg