山东教育云服务平台登录入口:http://www.sdei.edu.cn
各市教育局,各高等学校,厅属各单位:
2018年第四季度,我省教育系统网络运行总体稳定,但部分教育行政部门和学校的信息系统(网站)仍多次出现弱口令、信息泄露等安全事件,第四季度共监测发现安全事件117起,比第三季度增加5起。对监测发现的安全事件,我们第一时间通过工作平台(http://gzpt.sdei.edu.cn)进行了通知,对未在规定时间进行处置的进行了书面告知。为进一步加强教育系统网络与信息安全管理,现将第四季度安全漏洞情况通报如下:
一、弱口令漏洞
共发现55次。弱口令指的是仅包含简单数字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:曲阜师范大学、德州学院、山东商业职业技术学院、山东电子职业技术学院、山东工艺美术学院、山东建筑大学、山东职业学院、济南职业学院、山东女子学院、山东艺术学院、泰山职业技术学院、潍坊医学院、淄博职业学院、济南市教育局、泰安市教育局、淄博市教育局、临沂市教育局、潍坊市教育局、济宁市教育局、滨州市教育局、莱芜市教育局、枣庄市教育局、德州市教育局。
二、信息泄露漏洞
共发现22次。主要是网站发布信息时主动泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:德州学院、山东商业职业技术学院、日照职业技术学院、山东工艺美术学院、潍坊学院、山东建筑大学、山东财经大学、济宁学院、山东中医药大学、泰山学院、潍坊护理职业学院、烟台大学、泰安市教育局、东营市教育局、淄博市教育局、青岛市教育局、滨州市教育局、聊城市教育局。
三、SQL注入漏洞
共发现14次。即黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:山东理工大学、山东体育学院、潍坊科技学院、泰安市教育局、东营市教育局、临沂市教育局、潍坊市教育局、济宁市教育局、枣庄市教育局、日照市教育局。
四、跨站脚本漏洞
共发现11次。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是java script,但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。涉及单位:济南市教育局、淄博市教育局、临沂市教育局、青岛市教育局、济宁市教育局、滨州市教育局、莱芜市教育局。
五、未授权访问漏洞
共发现7次。未授权访问指需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、企业级重要信息泄露。涉及单位:山东电子职业技术学院、菏泽医学专科学校、济南市教育局、东营市教育局、青岛市教育局。
六、远程命令执行漏洞
共发现3次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:曲阜师范大学、德州学院。
七、逻辑漏洞
共发现2次。逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。涉及单位:曲阜师范大学、青岛市教育局。
八、暗链漏洞
共发现2次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站,对政府和企事业单位的影响较大。涉及单位:青岛大学、淄博市教育局。
九、目录遍历漏洞
共发现1次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:莱芜职业技术学院。
请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。
山东省教育厅