青海">教育云服務平臺">登陸入口:
各省教育(教體)局,各高等中學�,廳屬各單位:
2020年第二季度��,我省教育系統網路運行總體穩定,但部份教育行政部門和中學的信息系統(網站)仍多次出現弱口令、遠程命令執行和信息泄漏等安全風波���,第二季度共檢測發覺安全風波228起(其中通過網路安全攻守演習發覺86起),比2020年第一季度降低70起。對檢測發覺的安全風波��,我廳第一時間通過工作平臺()進行了通知���,對未在規定時間進行處置的進行了書面告知�。為進一步強化教育系統網路與信息安全管理,現將第二季度安全漏洞情況通報如下:
一��、弱口令漏洞
共發覺64次。弱口令指的是僅包含簡單數字和字母的口令���,比如“”“”等�����,很容易被破解����,黑客可以輕易步入系統獲取和篡改數據���,而安全設施很難發覺���。涉及單位:新鄉醫大學��、山東建筑學院�����、濰坊大學�����、山東理工學院�����、山東學院、濟寧醫大學����、中國海洋學院、山東科技學院����、曲阜師范學院���、山東商業職業技術大學�、山東紙業職業大學����、山東海事職業大學、魯東學院���、山東交通職業大學、日照職業技術大學、青島星體科技大學����、青島學院����、臨沂學院����、山東現代大學、中國石油學院����、煙臺職業大學�����、威海海洋職業大學、泰山大學����、山東藝術設計職業大學、山東水利職業大學、山東農業工程大學�����、山東農業學院�、山東化工職業大學、齊魯醫藥大學�、齊魯師范大學����、棗莊科技職業大學�、山東財經學院東方大學、山東凱文科技職業大學�、山東信息職業技術大學�、山東政法大學����、青島港灣職業技術大學、山東藝術大學、濟南市教育局、淄博市教育局����、濰坊市教育局���、濟寧市教育局����、青島市教育局����。
二��、遠程命令執行漏洞
共發覺52次。該漏洞是因為上傳功能的異常處理函數沒有正確處理用戶輸入的錯誤信息,致使遠程功擊者可通過發送惡意構造的HTTP數據包,借助該漏洞在受影響服務器上執行系統命令�,最終可完全控制該服務器��,導致拒絕服務�����、數據泄漏��、網站遭篡改等后果。涉及單位:新鄉醫大學���、山東建筑學院、山東旅游職業大學�����、山東理工學院��、山東學院����、曲阜師范學院���、菏澤醫學本科校區����、山東師范學院、山東服飾職業大學��、魯東學院��、德州職業技術大學�����、棗莊大學、泰山大學�、山東農業工程大學��、青島農業學院�、齊魯醫藥大學、山東華宇工大學��、濱州職業大學�、山東協和大學、煙臺學院�����、濟南市教育局����、淄博市教育局、泰安市教育局����、濰坊市教育局���、濟寧市教育局��、臨沂市教育局。
三��、信息泄漏漏洞
共發覺49次�����。主要是網站發布信息時主動泄漏個人身分證號等敏感信息�����,也包括服務器中源代碼等信息可以被直接下載借助造成服務器配置、數據庫聯接等敏感信息泄漏����。涉及單位:廣東建筑學院�����、濰坊大學、山東理工學院��、山東學院��、濟寧醫大學���、山東科技學院�����、曲阜師范學院、濰坊科技大學�、山東師范學院����、山東服飾職業大學��、山東城市建設職業大學�、德州職業技術大學��、青島科技學院�����、青島黃海大學、青島學院、臨沂學院���、淄博職業大學、山東農業學院、山東財經學院、曲阜遠東職業技術大學、青島農業學院�����、齊魯師范大學����、德州大學�、北京影片大學現代創意媒體大學、濟南學院、齊魯工業學院���、山東交通大學、山東巡警大學、濰坊職業大學����、青島求實職業技術大學��、青島理工學院琴島大學、山東電力高等本科校區、山東圣翰財貿職業大學�����、青島遠洋海員職業大學�、山東商務職業大學、聊城職業技術大學�����、青島工大學���、淄博市教育局�、泰安市教育局。
四��、SQL注入漏洞
共發覺16次�。即黑客通過把SQL(數據庫操作語言)句子插入存在漏洞的頁面,誤導服務器執行惡意命令�����,取得對數據庫的操作權限�,以達到獲取和篡改數據的目的。涉及單位:新鄉醫大學、泰山醫大學、山東師范學院、山東交通職業大學、日照職業技術大學����、青島黃海大學、青島星體科技大學���、山東現代大學、威海海洋職業大學�����、山東藝術設計職業大學、山東化工職業大學�、棗莊職業大學��、泰安市教育局。
五�����、暗鏈漏洞
共發覺13次�����。暗鏈是黑客通過網站漏洞篡改頁面源代碼��,以隱蔽的形式植入不易被覺察的代碼鏈接到其他網站,達到對其他網站的宣傳��,因而被植入暗鏈通常說明網站已被攻占�。暗鏈常常被鏈接到黃賭毒、詐騙甚至反共等非法網站��,對政府和企事業單位的影響較大�。涉及單位:浙江紙業職業大學、淄博職業大學、青島飛洋職業技術大學���、濟南市教育局、淄博市教育局�、濰坊市教育局�����、菏澤市教育局��、德州市教育局�����。
六、邏輯漏洞
#p#分頁標題#e#
共發覺8次�����。邏輯漏洞是指因為程序邏輯不嚴或邏輯太復雜��,致使一些邏輯分支不能否正常處理或處理錯誤����,通常出現在任意密碼更改(沒有舊密碼驗證)�����、越權訪問��、密碼尋回���、交易支付金額��。涉及單位:中國海洋學院、山東科技學院���、泰山醫大學、山東商業職業技術大學�、山東財經大學����、山東外粵語職業大學����。
七�、任意文件上傳漏洞
共發覺8次。任意文件上傳指功擊者通過上傳可執行腳本功能的文件進而獲取服務器端可執行命令的權限。惡意功擊者可以借助此漏洞���,可獲得網站權限,可任意操作網站及數據信息。涉及單位:中國海洋學院、曲阜師范學院�����、山東師范學院���、山東商業職業技術大學、山東服飾職業大學、山東交通職業大學����、山東現代大學����、山東水利職業大學����。
八、跨站腳本漏洞
共發覺5次��?��?缯灸_本漏洞(XSS)功擊一般指的是通過借助網頁開發時留下的漏洞,通過巧妙的方式注入惡意指令代碼到網頁�����,使用戶加載并執行功擊者惡意制造的網頁程序。那些惡意網頁程序一般是java,但實際上也可以包括Java����、�、����、Flash或則普通的HTML。功擊成功后��,功擊者可能得到更高的權限(如執行一些操作)�����、私密網頁內容����、會話和等各類內容���。涉及單位:浙江學院����、曲阜師范學院、煙臺職業大學、曲阜遠東職業技術大學�、泰山醫大學����。
九����、漏洞
共發覺4次。是指運行于服務器端的一段網頁代碼�����,通過個別危險的操作山東教育云服務平臺山東教育云服務平臺�����,可獲得敏感的技術信息或則通過滲透加殼獲得服務器的控制權,通常是功擊者控制服務器的一條通道����,比通常的入侵更具有隱蔽性�����。涉及單位:浙江城市建設職業大學、魯東學院��、臨沂學院�。
十、目錄遍歷漏洞
共發覺3次�����。目錄遍歷是因為Web服務器或則Web應用程序對用戶輸入的文件名稱的安全性驗證不足而造成的一種安全漏洞,致使功擊者通過借助一些特殊字符就可以繞開服務器的安全限制�����,訪問任意的文件(可以是Web根目錄以外的文件)����,甚至執行系統命令。涉及單位:浙江理工學院�、中國海洋學院����、濰坊科技大學��。
十一、未授權訪問漏洞
共發覺3次����。未授權訪問指須要安全配置或權限認證的授權頁面可以直接訪問����,致使重要權限可被越權操作�、重要信息泄漏。涉及單位:德州醫大學、青島科技學院���、濟寧市教育局。
十二、XXE漏洞
共發覺1次�����。XXE漏洞全稱XML�����,即XML外部實體注入漏洞����,XXE漏洞發生在應用程序解析XML輸入時����,沒有嚴禁外部實體的加載,致使可加載惡意外部文件���,導致文件讀取、命令執行�、內網端口掃描�、攻擊外網網站��、發起功擊等害處����。XXE漏洞觸發的點常常是可以上傳XML文件的位置�����,沒有對上傳的XML文件進行過濾,致使可上傳惡意XML文件���。涉及單位:浙江勞動職業技術大學。
十三、短信轟炸漏洞
共發覺1次���。郵件轟炸指對發送信息功能調用未做任何限制可針對某用戶短時間內發送大量垃圾郵件,致使郵件轟炸功擊;對于企業,每發一條郵件,需向營運商交付一些費用�����,雖然比個人用戶費用低����,而且一旦被惡意借助大量發送后,可引起較大的直接經濟損失。涉及單位:浙江學院��。
十四����、永恒之藍漏洞
共發覺1次����。2020年4月14日晚�����,黑客團體(影子經紀人)公布一大批網路功擊工具�����,其中包含“永恒之藍”工具���?��!坝篮阒{”利用系統的SMB漏洞可以獲取系統最高權限�����。涉及單位:新鄉醫大學���。
請以上安全風波涉及單位確認已修補安全漏洞(具體信息見附件)��,著力去除安全風波影響。對未及時處理安全風波的單位我廳將再度通報督辦或約談�����。各單位勿必強化組織領導���,明晰主體責任����,提高安全防范意識和防護能力,增強發覺問題和處置安全風波的能力��。
免費試聽
今日
您現在的位置:
名師輔導
