山东教育云服务平台登录入口：http://www.sdei.edu

青海">教育云服务平台">登陆入口：

各省教育（教体）局，各高等中学，厅属各单位：

2020年第二季度，我省教育系统网路运行总体稳定，但部份教育行政部门和中学的信息系统（网站）仍多次出现弱口令、远程命令执行和信息泄漏等安全风波，第二季度共检测发觉安全风波228起（其中通过网路安全攻守演习发觉86起），比2020年第一季度降低70起。对检测发觉的安全风波，我厅第一时间通过工作平台（）进行了通知，对未在规定时间进行处置的进行了书面告知。为进一步强化教育系统网路与信息安全管理，现将第二季度安全漏洞情况通报如下：

一、弱口令漏洞

共发觉64次。弱口令指的是仅包含简单数字和字母的口令，比如“”“”等，很容易被破解，黑客可以轻易步入系统获取和篡改数据，而安全设施很难发觉。涉及单位：新乡医大学、山东建筑学院、潍坊大学、山东理工学院、山东学院、济宁医大学、中国海洋学院、山东科技学院、曲阜师范学院、山东商业职业技术大学、山东纸业职业大学、山东海事职业大学、鲁东学院、山东交通职业大学、日照职业技术大学、青岛星体科技大学、青岛学院、临沂学院、山东现代大学、中国石油学院、烟台职业大学、威海海洋职业大学、泰山大学、山东艺术设计职业大学、山东水利职业大学、山东农业工程大学、山东农业学院、山东化工职业大学、齐鲁医药大学、齐鲁师范大学、枣庄科技职业大学、山东财经学院东方大学、山东凯文科技职业大学、山东信息职业技术大学、山东政法大学、青岛港湾职业技术大学、山东艺术大学、济南市教育局、淄博市教育局、潍坊市教育局、济宁市教育局、青岛市教育局。

二、远程命令执行漏洞

共发觉52次。该漏洞是因为上传功能的异常处理函数没有正确处理用户输入的错误信息，致使远程功击者可通过发送恶意构造的HTTP数据包，借助该漏洞在受影响服务器上执行系统命令，最终可完全控制该服务器，导致拒绝服务、数据泄漏、网站遭篡改等后果。涉及单位：新乡医大学、山东建筑学院、山东旅游职业大学、山东理工学院、山东学院、曲阜师范学院、菏泽医学本科校区、山东师范学院、山东服饰职业大学、鲁东学院、德州职业技术大学、枣庄大学、泰山大学、山东农业工程大学、青岛农业学院、齐鲁医药大学、山东华宇工大学、滨州职业大学、山东协和大学、烟台学院、济南市教育局、淄博市教育局、泰安市教育局、潍坊市教育局、济宁市教育局、临沂市教育局。

三、信息泄漏漏洞

共发觉49次。主要是网站发布信息时主动泄漏个人身分证号等敏感信息，也包括服务器中源代码等信息可以被直接下载借助造成服务器配置、数据库联接等敏感信息泄漏。涉及单位：广东建筑学院、潍坊大学、山东理工学院、山东学院、济宁医大学、山东科技学院、曲阜师范学院、潍坊科技大学、山东师范学院、山东服饰职业大学、山东城市建设职业大学、德州职业技术大学、青岛科技学院、青岛黄海大学、青岛学院、临沂学院、淄博职业大学、山东农业学院、山东财经学院、曲阜远东职业技术大学、青岛农业学院、齐鲁师范大学、德州大学、北京影片大学现代创意媒体大学、济南学院、齐鲁工业学院、山东交通大学、山东巡警大学、潍坊职业大学、青岛求实职业技术大学、青岛理工学院琴岛大学、山东电力高等本科校区、山东圣翰财贸职业大学、青岛远洋海员职业大学、山东商务职业大学、聊城职业技术大学、青岛工大学、淄博市教育局、泰安市教育局。

四、SQL注入漏洞

共发觉16次。即黑客通过把SQL（数据库操作语言）句子插入存在漏洞的页面，误导服务器执行恶意命令，取得对数据库的操作权限，以达到获取和篡改数据的目的。涉及单位：新乡医大学、泰山医大学、山东师范学院、山东交通职业大学、日照职业技术大学、青岛黄海大学、青岛星体科技大学、山东现代大学、威海海洋职业大学、山东艺术设计职业大学、山东化工职业大学、枣庄职业大学、泰安市教育局。

五、暗链漏洞

共发觉13次。暗链是黑客通过网站漏洞篡改页面源代码，以隐蔽的形式植入不易被觉察的代码链接到其他网站，达到对其他网站的宣传，因而被植入暗链通常说明网站已被攻占。暗链常常被链接到黄赌毒、诈骗甚至反共等非法网站，对政府和企事业单位的影响较大。涉及单位：浙江纸业职业大学、淄博职业大学、青岛飞洋职业技术大学、济南市教育局、淄博市教育局、潍坊市教育局、菏泽市教育局、德州市教育局。

六、逻辑漏洞

#p#分页标题#e#

共发觉8次。逻辑漏洞是指因为程序逻辑不严或逻辑太复杂，致使一些逻辑分支不能否正常处理或处理错误，通常出现在任意密码更改（没有旧密码验证）、越权访问、密码寻回、交易支付金额。涉及单位：中国海洋学院、山东科技学院、泰山医大学、山东商业职业技术大学、山东财经大学、山东外粤语职业大学。

七、任意文件上传漏洞

共发觉8次。任意文件上传指功击者通过上传可执行脚本功能的文件进而获取服务器端可执行命令的权限。恶意功击者可以借助此漏洞，可获得网站权限，可任意操作网站及数据信息。涉及单位：中国海洋学院、曲阜师范学院、山东师范学院、山东商业职业技术大学、山东服饰职业大学、山东交通职业大学、山东现代大学、山东水利职业大学。

八、跨站脚本漏洞

共发觉5次。跨站脚本漏洞（XSS）功击一般指的是通过借助网页开发时留下的漏洞，通过巧妙的方式注入恶意指令代码到网页，使用户加载并执行功击者恶意制造的网页程序。那些恶意网页程序一般是java，但实际上也可以包括Java、、、Flash或则普通的HTML。功击成功后，功击者可能得到更高的权限（如执行一些操作）、私密网页内容、会话和等各类内容。涉及单位：浙江学院、曲阜师范学院、烟台职业大学、曲阜远东职业技术大学、泰山医大学。

九、漏洞

共发觉4次。是指运行于服务器端的一段网页代码，通过个别危险的操作山东教育云服务平台山东教育云服务平台，可获得敏感的技术信息或则通过渗透加壳获得服务器的控制权，通常是功击者控制服务器的一条通道，比通常的入侵更具有隐蔽性。涉及单位：浙江城市建设职业大学、鲁东学院、临沂学院。

十、目录遍历漏洞

共发觉3次。目录遍历是因为Web服务器或则Web应用程序对用户输入的文件名称的安全性验证不足而造成的一种安全漏洞，致使功击者通过借助一些特殊字符就可以绕开服务器的安全限制，访问任意的文件（可以是Web根目录以外的文件），甚至执行系统命令。涉及单位：浙江理工学院、中国海洋学院、潍坊科技大学。

十一、未授权访问漏洞

共发觉3次。未授权访问指须要安全配置或权限认证的授权页面可以直接访问，致使重要权限可被越权操作、重要信息泄漏。涉及单位：德州医大学、青岛科技学院、济宁市教育局。

十二、XXE漏洞

共发觉1次。XXE漏洞全称XML，即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有严禁外部实体的加载，致使可加载恶意外部文件，导致文件读取、命令执行、内网端口扫描、攻击外网网站、发起功击等害处。XXE漏洞触发的点常常是可以上传XML文件的位置，没有对上传的XML文件进行过滤，致使可上传恶意XML文件。涉及单位：浙江劳动职业技术大学。

十三、短信轰炸漏洞

共发觉1次。邮件轰炸指对发送信息功能调用未做任何限制可针对某用户短时间内发送大量垃圾邮件，致使邮件轰炸功击；对于企业，每发一条邮件，需向营运商交付一些费用，虽然比个人用户费用低，而且一旦被恶意借助大量发送后，可引起较大的直接经济损失。涉及单位：浙江学院。

十四、永恒之蓝漏洞

共发觉1次。2020年4月14日晚，黑客团体（影子经纪人）公布一大批网路功击工具，其中包含“永恒之蓝”工具。“永恒之蓝”利用系统的SMB漏洞可以获取系统最高权限。涉及单位：新乡医大学。

请以上安全风波涉及单位确认已修补安全漏洞（具体信息见附件），着力去除安全风波影响。对未及时处理安全风波的单位我厅将再度通报督办或约谈。各单位勿必强化组织领导，明晰主体责任，提高安全防范意识和防护能力，增强发觉问题和处置安全风波的能力。