聲明：本文介紹的技術僅供網絡安全技術人員及白帽子使用，任何個人或組織不可傳播使用相關技術及工具從事違法犯罪行爲，一經發現直接上報國家安全機關處理

關於論文查重的問題我已經發過很多文章了，爲了讓大家清醒的認識到論文查重的潛在風險，今天我就公佈一些漏洞挖掘細節，希望大家引起足夠重視。

百度論文查重會有一大堆的免費網站推薦，我隨便找了幾個免費的網站都有很常見的XSS存儲漏洞，信息蒐集和工具什麼的都不需要，其他的漏洞更不用說了，不需要多高明的技術就能竊取到網站內的數據，可能在你報告生成的那一刻，你的論文就到了別人的手中，可見這類網站有多麼危險

下面我介紹一下挖到的漏洞以及怎樣識別這類網站的安全性

漏洞介紹

首先在提交論文模塊輸入xss標籤，經過驗證論文標題以及作者欄是沒有做任何過濾的，只是在文檔內容中做了簡單的過濾，爲了提交成功可以隨便從本地導入一個文檔

提交後等待一兩分鐘，後臺會自動查重

完成後點擊查看報告

你就會看到彈窗

查看報告右鍵有個鏈接可以複製發給別任何人

別人點開後一樣可以彈窗，不需要登錄，這時你就可以利用給別人看報告的名義竊取他的隱私

你可以利用這個漏洞實現鍵盤記錄啊，釣魚啊等等等等，這就要你發揮自己的想象了

識別方法

協議認證

我們知道HTTP協議是一種使用明文數據傳輸的網絡協議。而明文傳輸存在非常大的安全隱患，假如數據被第三方截獲是很容易泄露的

而HTTPS在HTTP的基礎上通過傳輸加密和證書身份認證保證了傳輸過程的安全性，所以沒有使用HTTPS協議的網站要多加註意

網站認證

有權威的網站底部會有很多認證以及備案號

像這種簡簡單單什麼都沒有的要小心

聲明及版權處理信息

看到第一條你有什麼感想呢

這裏還有用戶協議打不開的

還有很多是沒有任何聲明與協議說明的，這樣的網站你敢用麼

很多購物平臺背後到底用了怎樣的查重技術也無人可知

面對這些令人眼花繚亂的宣傳你是否不知所錯了呢？

那到底哪些網站是安全可靠的呢？

其實沒有哪個網站是絕對安全的，能滿足以上條件基本上就差不多了，畢竟每個人的情況不同，有些人不在乎花點錢，就去知名的官網查一下子，有些人可能就對免費的情有獨鍾，所以怎樣選擇還是要看自己，我就不在這打廣告了

如果你已經生成了報告並且不放心可以去下面的官網查一下

PaperPass檢測報告真僞查詢

https://www.paperpass.com/check

好了感謝你看到這裏，還望多多轉發，多多支持，避免更多人上當哦

- END -

【漏洞挖掘實戰篇】關於論文查重網站的漏洞挖掘細節