聲明:本文介紹的技術僅供網絡安全技術人員及白帽子使用,任何個人或組織不可傳播使用相關技術及工具從事違法犯罪行爲,一經發現直接上報國家安全機關處理
關於論文查重的問題我已經發過很多文章了,爲了讓大家清醒的認識到論文查重的潛在風險,今天我就公佈一些漏洞挖掘細節,希望大家引起足夠重視。
百度論文查重會有一大堆的免費網站推薦,我隨便找了幾個免費的網站都有很常見的XSS存儲漏洞,信息蒐集和工具什麼的都不需要,其他的漏洞更不用說了,不需要多高明的技術就能竊取到網站內的數據,可能在你報告生成的那一刻,你的論文就到了別人的手中,可見這類網站有多麼危險
下面我介紹一下挖到的漏洞以及怎樣識別這類網站的安全性
相關文章論文查重門道多,選擇平臺需謹慎
漏洞介紹
首先在提交論文模塊輸入xss標籤,經過驗證論文標題以及作者欄是沒有做任何過濾的,只是在文檔內容中做了簡單的過濾,爲了提交成功可以隨便從本地導入一個文檔
提交後等待一兩分鐘,後臺會自動查重
完成後點擊查看報告
你就會看到彈窗
查看報告右鍵有個鏈接可以複製發給別任何人
別人點開後一樣可以彈窗,不需要登錄,這時你就可以利用給別人看報告的名義竊取他的隱私
你可以利用這個漏洞實現鍵盤記錄啊,釣魚啊等等等等,這就要你發揮自己的想象了
識別方法
01
協議認證
我們知道HTTP協議是一種使用明文數據傳輸的網絡協議。而明文傳輸存在非常大的安全隱患,假如數據被第三方截獲是很容易泄露的
而HTTPS在HTTP的基礎上通過傳輸加密和證書身份認證保證了傳輸過程的安全性,所以沒有使用HTTPS協議的網站要多加註意
02
網站認證
有權威的網站底部會有很多認證以及備案號
像這種簡簡單單什麼都沒有的要小心
03
聲明及版權處理信息
看到第一條你有什麼感想呢
這裏還有用戶協議打不開的
還有很多是沒有任何聲明與協議說明的,這樣的網站你敢用麼
很多購物平臺背後到底用了怎樣的查重技術也無人可知
面對這些令人眼花繚亂的宣傳你是否不知所錯了呢?
那到底哪些網站是安全可靠的呢?
其實沒有哪個網站是絕對安全的,能滿足以上條件基本上就差不多了,畢竟每個人的情況不同,有些人不在乎花點錢,就去知名的官網查一下子,有些人可能就對免費的情有獨鍾,所以怎樣選擇還是要看自己,我就不在這打廣告了
如果你已經生成了報告並且不放心可以去下面的官網查一下
PaperPass檢測報告真僞查詢
https://www.paperpass.com/check
好了感謝你看到這裏,還望多多轉發,多多支持,避免更多人上當哦
- END -