山東云教育服務平臺登錄官網地址：http://www.sdei.edu.cn/wcms/wwwroot/sdedu/index.shtml

各市教育（教體）局，各高等學校，廳屬各單位：

第一季度，我省教育系統(tǒng)網絡運行總體穩(wěn)定，但部分教育行政部門和學校的信息系統(tǒng)（網站）仍多次出現(xiàn)SQL注入、跨站腳本攻擊等安全漏洞。第一季度共監(jiān)測發(fā)現(xiàn)安全事件158起，比2018年第四季度增加41起，教育系統(tǒng)網絡安全形勢不容樂觀，各單位要認清網絡安全形勢，加強網絡安全工作。對監(jiān)測發(fā)現(xiàn)的安全事件，我們第一時間通過工作平臺（http://gzpt.sdei.edu.cn）進行了通知，對未在規(guī)定時間進行處置的進行了書面告知。為進一步加強教育系統(tǒng)網絡與信息安全管理，現(xiàn)將第一季度安全漏洞情況通報如下：

一、SQL注入漏洞

共發(fā)現(xiàn)38次。即黑客通過把SQL（數(shù)據(jù)庫操作語言）語句插入存在漏洞的頁面，欺騙服務器執(zhí)行惡意命令，取得對數(shù)據(jù)庫的操作權限，以達到獲取和篡改數(shù)據(jù)的目的。涉及單位：聊城大學、山東農業(yè)工程學院、山東財經大學、山東師范大學、山東商業(yè)職業(yè)技術學院、山東藝術學院、齊魯師范學院、齊魯理工學院、山東藝術設計職業(yè)學院、齊魯工業(yè)大學、濟南大學、東營職業(yè)學院、棗莊科技職業(yè)學院、泰安市教育局、棗莊市教育局、濟南市教育局、青島市教育局、濟寧市教育局。

二、跨站腳本漏洞

共發(fā)現(xiàn)31次。XSS攻擊通常指的是通過利用網頁開發(fā)時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執(zhí)行攻擊者惡意制造的網頁程序。這些惡意網頁程序通常是java script，但實際上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻擊成功后，攻擊者可能得到更高的權限（如執(zhí)行一些操作）、私密網頁內容、會話和Cookie等各種內容。涉及單位：聊城大學、山東旅游職業(yè)學院、齊魯理工學院、山東藝術設計職業(yè)學院、魯東大學、山東體育學院、山東凱文科技職業(yè)學院、山東工藝美術學院、泰安市教育局、臨沂市教育局、淄博市教育局、棗莊市教育局、濟南市教育局、東營市教育局、濟寧市教育局、威海市教育局、濰坊市教育局。

三、弱口令漏洞

共發(fā)現(xiàn)31次。弱口令指的是僅包含簡單數(shù)字和字母的口令，例如“abcdef”“123456”等，很容易被破解，黑客可以輕易進入系統(tǒng)獲取和篡改數(shù)據(jù)，而安全設施很難發(fā)現(xiàn)。涉及單位：聊城大學、山東農業(yè)工程學院、山東財經大學、山東師范大學、山東旅游職業(yè)學院、山東商業(yè)職業(yè)技術學院、齊魯師范學院、齊魯理工學院、山東藝術設計職業(yè)學院、齊魯工業(yè)大學、山東職業(yè)學院、山東體育學院、山東商務職業(yè)學院、濟南職業(yè)學院、泰安市教育局、臨沂市教育局、棗莊市教育局、濟南市教育局、威海市教育局。

四、信息泄露漏洞

共發(fā)現(xiàn)23次。主要是網站發(fā)布信息時主動泄露個人身份證號等敏感信息，也包括服務器中源代碼等信息可以被直接下載利用導致服務器配置、數(shù)據(jù)庫連接等敏感信息泄露。涉及單位：聊城大學、山東師范大學、山東旅游職業(yè)學院、山東商業(yè)職業(yè)技術學院、齊魯師范學院、魯東大學、山東交通學院、山東財經大學燕山學院、山東農業(yè)大學、齊魯醫(yī)藥學院、青島求實職業(yè)技術學院、濟南工程職業(yè)技術學院、濟南護理職業(yè)學院、山東理工大學、濟寧醫(yī)學院、泰安市教育局、淄博市教育局、日照市教育局、菏澤市教育局。

五、邏輯漏洞

共發(fā)現(xiàn)7次。邏輯漏洞是指由于程序邏輯不嚴或邏輯太復雜，導致一些邏輯分支不能夠正常處理或處理錯誤，一般出現(xiàn)在任意密碼修改（沒有舊密碼驗證）、越權訪問、密碼找回、交易支付金額。涉及單位：聊城大學、山東職業(yè)學院、濟南大學、棗莊市教育局、濟寧市教育局、日照市教育局。

六、任意文件上傳漏洞

共發(fā)現(xiàn)6次。任意文件上傳指攻擊者通過上傳可執(zhí)行腳本功能的文件從而獲取服務器端可執(zhí)行命令的權限。惡意攻擊者可以利用此漏洞，可獲得網站Webshell權限，可任意操作網站及數(shù)據(jù)信息。涉及單位：聊城大學、山東特殊教育職業(yè)學院、泰安市教育局。

七、暗鏈漏洞

共發(fā)現(xiàn)6次。暗鏈是黑客通過網站漏洞篡改頁面源代碼，以隱蔽的方式植入不易被覺察的代碼鏈接到其他網站，達到對其他網站的宣傳，因此被植入暗鏈一般說明網站已被攻陷。暗鏈往往被鏈接到黃賭毒、詐騙甚至反動等非法網站，對政府和企事業(yè)單位的影響較大。涉及單位：山東師范大學、山東科技大學、棗莊學院、煙臺大學、淄博市教育局、德州市教體局。

八、遠程命令執(zhí)行漏洞

共發(fā)現(xiàn)6次。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯誤信息，導致遠程攻擊者可通過發(fā)送惡意構造的HTTP數(shù)據(jù)包，利用該漏洞在受影響服務器上執(zhí)行系統(tǒng)命令，最終可完全控制該服務器，造成拒絕服務、數(shù)據(jù)泄露、網站遭篡改等后果。涉及單位：山東科技大學、山東商業(yè)職業(yè)技術學院、山東商務職業(yè)學院、山東凱文科技職業(yè)學院。

九、暴力破解漏洞

共發(fā)現(xiàn)3次。暴力破解指攻擊者枚舉其準備的用戶名和密碼字典同時進行登錄，通過響應結果從而得到正確用戶名和密碼的過程。惡意攻擊者可以利用此漏洞，可對網站進行暴力破解攻擊。涉及單位：聊城大學、青島市教育局。

十、跨站請求偽造漏洞

共發(fā)現(xiàn)2次。CSRF(跨站請求偽造)漏洞指攻擊者引誘用戶訪問頁面，攻擊頁面使用該用戶身份在第三方網站自動進行操作。攻擊者可利用該漏洞誘騙用戶在不知情情況下執(zhí)行未授權操作。涉及單位：青島市教育局。

十一、目錄遍歷漏洞

共發(fā)現(xiàn)2次。目錄遍歷是由于Web服務器或者Web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞，使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制，訪問任意的文件（可以是Web根目錄以外的文件），甚至執(zhí)行系統(tǒng)命令。涉及單位：聊城大學、山東師范大學。

十二、挖礦木馬

共發(fā)現(xiàn)1次。挖礦木馬指黑客將挖礦木馬程序植入受害者的主機，占用CPU資源來幫助黑客挖礦，影響主機性能。涉及單位：臨沂大學。

十三、未授權訪問漏洞

共發(fā)現(xiàn)1次。未授權訪問指需要安全配置或權限認證的授權頁面可以直接訪問，導致重要權限可被操作、企業(yè)級重要信息泄露。涉及單位：聊城大學。

十四、任意文件讀取漏洞

共發(fā)現(xiàn)1次。一些網站由于業(yè)務需求，往往需要提供文件查看或文件下載功能，但若對用戶查看或下載的文件不做限制，則惡意用戶就能夠查看或下載任意敏感文件，這就是文件查看與下載漏洞。涉及單位：山東財經大學。

請以上安全事件涉及單位確認是否已修復安全漏洞（具體信息見附件），切實消除安全事件影響。對未及時處理安全事件的單位我廳將再次通報督辦或約談。各單位務必加強組織領導，明確主體責任，增強安全防范意識和防護能力，提高發(fā)現(xiàn)問題和處置安全事件的能力。