原文链接https://blog.csdn.net/weixin_45728976/article/details/104564756

导语
前两天看到一篇文章，说“我的论文被卖了”，目前论文查重服务水太深，并且已经形成了一定规模的产业，暗渠密布，各种骗局和信息安全问题层出不穷！
原理就是当你把论文上传之后，有些网站可能自己做一个备份，然后倒卖，也有可能网站是被黑客攻击导致信息泄露，然后他们通过专业人士对论文做一些修改再转手出卖。所以当你修改好论文准备提交的时候，你会惊奇的发现有一篇跟自己极其类似的论文在不久前已经发布了。
这种问题想想都可怕，所以出于正义我准备把这些网站找出来，给大家提个醒。我找了两个还算权威的论文查重网站“调查”了一番，发现他们真的有信息泄露漏洞，以下就是我挖掘的整个过程。

声明：本篇文章的目的在于让大家认清网站论文查重存在的潜在危险，不要试图破解本文技术或者利用笔者发布的其他文章中的技术擅自破坏别人的网站，否则出了问题自己负责。同时为了不对文章中涉及的网站构成影响，我不会公布网站，至于他们的漏洞我也提交到了应急响应中心，他们很快便会解决的，所以大家放心

如果大家对自己的查重报告不放心可以到官方平台检测一下

漏洞挖掘过程

首先是信息搜集

这没什么好说的，直接百度找网站，这种网站很多我随便找了一个

进去之后还要登录真是麻烦

<font color="orane">然后检测漏洞

先用burp抓包扫一扫，看能不能扫到漏洞

扫半天也没啥突破，先让他扫着吧，我再做个指纹识别，看有没有突破口，嗯查到了网站的服务器信息、域名信息以及ip信息

第一个网站发现漏洞

以上工作都没有什么突破，然后我把目光转移到了文本输入框上，把能输入的框都放上了简单的弹框标签

结果很轻松的就成功了，一点绕过都没有

这时burp也扫完了，发现还有两个高危漏洞

第二个网站发现漏洞

第二个网站也基本如此，都是简单的标签就可以弹窗

漏洞风险：这种漏洞是能存储在数据库中长久保存的，具有持续性危害，黑客利用此漏洞可以做钓鱼，也可以获取用户cookie，从而窃取内部资料，最终导致信息泄露

最后希望大家在论文查重的时候擦亮双眼谨防受骗，也祝你们能够写出完美的论文，顺利毕业完毕❗️❗️❗️

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课