声明：本文介绍的技术仅供网络安全技术人员及白帽子使用，任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为，一经发现直接上报国家安全机关处理，著作权归【爱国小白帽】所有

关于论文查重的问题我已经发过很多文章了，为了让大家清醒的认识到论文查重的潜在风险，今天我就公布一些漏洞挖掘细节，希望大家引起足够重视。

百度论文查重会有一大堆的免费网站推荐，我随便找了几个免费的网站都有很常见的XSS存储漏洞，信息搜集和工具什么的都不需要，其他的漏洞更不用说了，不需要多高明的技术就能窃取到网站内的数据，可能在你报告生成的那一刻，你的论文就到了别人的手中，可见这类网站有多么危险

下面我介绍一下挖到的漏洞以及怎样识别这类网站的安全性

相关文章论文查重门道多，选择平台需谨慎

漏洞介绍

首先在提交论文模块输入xss标签，经过验证论文标题以及作者栏是没有做任何过滤的，只是在文档内容中做了简单的过滤，为了提交成功可以随便从本地导入一个文档

提交后等待一两分钟，后台会自动查重

完成后点击查看报告

你就会看到弹窗

查看报告右键有个链接可以复制发给别任何人

别人点开后一样可以弹窗，不需要登录，这时你就可以利用给别人看报告的名义窃取他的隐私

你可以利用这个漏洞实现键盘记录啊，钓鱼啊等等等等，这就要你发挥自己的想象了

识别方法

01

协议认证

我们知道HTTP协议是一种使用明文数据传输的网络协议。而明文传输存在非常大的安全隐患，假如数据被第三方截获是很容易泄露的

而HTTPS在HTTP的基础上通过传输加密和证书身份认证保证了传输过程的安全性，所以没有使用HTTPS协议的网站要多加注意

02

网站认证

有权威的网站底部会有很多认证以及备案号

像这种简简单单什么都没有的要小心

03

声明及版权处理信息

看到第一条你有什么感想呢

这里还有用户协议打不开的

还有很多是没有任何声明与协议说明的，这样的网站你敢用么

很多购物平台背后到底用了怎样的查重技术也无人可知

面对这些令人眼花缭乱的宣传你是否不知所错了呢？

那到底哪些网站是安全可靠的呢？

其实没有哪个网站是绝对安全的，能满足以上条件基本上就差不多了，毕竟每个人的情况不同，有些人不在乎花点钱，就去知名的官网查一下子，有些人可能就对免费的情有独钟，所以怎样选择还是要看自己，我就不在这打广告了

如果你已经生成了报告并且不放心可以去下面的官网查一下

PaperPass检测报告真伪查询

https://www.paperpass.com/check

好了感谢你看到这里，还望多多转发，多多支持，避免更多人上当哦

欢迎关注公众号，原创不易，转载请注明来源【爱国小白帽】

来源：freebuf.com 2021-04-02 19:42:31 by: bushihenshuai