當(dāng)前位置:高考升學(xué)網(wǎng) > 教育新聞 > 正文
山東云教育服務(wù)平臺(tái)登錄官網(wǎng)地址:http://www.sdei.edu.cn/wcms/wwwroot/sdedu/index.shtml
各市教育(教體)局,各高等學(xué)校,廳屬各單位:
第一季度,我省教育系統(tǒng)網(wǎng)絡(luò)運(yùn)行總體穩(wěn)定,但部分教育行政部門和學(xué)校的信息系統(tǒng)(網(wǎng)站)仍多次出現(xiàn)SQL注入、跨站腳本攻擊等安全漏洞。第一季度共監(jiān)測發(fā)現(xiàn)安全事件158起,比2018年第四季度增加41起,教育系統(tǒng)網(wǎng)絡(luò)安全形勢不容樂觀,各單位要認(rèn)清網(wǎng)絡(luò)安全形勢,加強(qiáng)網(wǎng)絡(luò)安全工作。對(duì)監(jiān)測發(fā)現(xiàn)的安全事件,我們第一時(shí)間通過工作平臺(tái)(http://gzpt.sdei.edu.cn)進(jìn)行了通知,對(duì)未在規(guī)定時(shí)間進(jìn)行處置的進(jìn)行了書面告知。為進(jìn)一步加強(qiáng)教育系統(tǒng)網(wǎng)絡(luò)與信息安全管理,現(xiàn)將第一季度安全漏洞情況通報(bào)如下:
一、SQL注入漏洞
共發(fā)現(xiàn)38次。即黑客通過把SQL(數(shù)據(jù)庫操作語言)語句插入存在漏洞的頁面,欺騙服務(wù)器執(zhí)行惡意命令,取得對(duì)數(shù)據(jù)庫的操作權(quán)限,以達(dá)到獲取和篡改數(shù)據(jù)的目的。涉及單位:聊城大學(xué)、山東農(nóng)業(yè)工程學(xué)院、山東財(cái)經(jīng)大學(xué)、山東師范大學(xué)、山東商業(yè)職業(yè)技術(shù)學(xué)院、山東藝術(shù)學(xué)院、齊魯師范學(xué)院、齊魯理工學(xué)院、山東藝術(shù)設(shè)計(jì)職業(yè)學(xué)院、齊魯工業(yè)大學(xué)、濟(jì)南大學(xué)、東營職業(yè)學(xué)院、棗莊科技職業(yè)學(xué)院、泰安市教育局、棗莊市教育局、濟(jì)南市教育局、青島市教育局、濟(jì)寧市教育局。
二、跨站腳本漏洞
共發(fā)現(xiàn)31次。XSS攻擊通常指的是通過利用網(wǎng)頁開發(fā)時(shí)留下的漏洞,通過巧妙的方法注入惡意指令代碼到網(wǎng)頁,使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是java script,但實(shí)際上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻擊成功后,攻擊者可能得到更高的權(quán)限(如執(zhí)行一些操作)、私密網(wǎng)頁內(nèi)容、會(huì)話和Cookie等各種內(nèi)容。涉及單位:聊城大學(xué)、山東旅游職業(yè)學(xué)院、齊魯理工學(xué)院、山東藝術(shù)設(shè)計(jì)職業(yè)學(xué)院、魯東大學(xué)、山東體育學(xué)院、山東凱文科技職業(yè)學(xué)院、山東工藝美術(shù)學(xué)院、泰安市教育局、臨沂市教育局、淄博市教育局、棗莊市教育局、濟(jì)南市教育局、東營市教育局、濟(jì)寧市教育局、威海市教育局、濰坊市教育局。
三、弱口令漏洞
共發(fā)現(xiàn)31次。弱口令指的是僅包含簡單數(shù)字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以輕易進(jìn)入系統(tǒng)獲取和篡改數(shù)據(jù),而安全設(shè)施很難發(fā)現(xiàn)。涉及單位:聊城大學(xué)、山東農(nóng)業(yè)工程學(xué)院、山東財(cái)經(jīng)大學(xué)、山東師范大學(xué)、山東旅游職業(yè)學(xué)院、山東商業(yè)職業(yè)技術(shù)學(xué)院、齊魯師范學(xué)院、齊魯理工學(xué)院、山東藝術(shù)設(shè)計(jì)職業(yè)學(xué)院、齊魯工業(yè)大學(xué)、山東職業(yè)學(xué)院、山東體育學(xué)院、山東商務(wù)職業(yè)學(xué)院、濟(jì)南職業(yè)學(xué)院、泰安市教育局、臨沂市教育局、棗莊市教育局、濟(jì)南市教育局、威海市教育局。
四、信息泄露漏洞
共發(fā)現(xiàn)23次。主要是網(wǎng)站發(fā)布信息時(shí)主動(dòng)泄露個(gè)人身份證號(hào)等敏感信息,也包括服務(wù)器中源代碼等信息可以被直接下載利用導(dǎo)致服務(wù)器配置、數(shù)據(jù)庫連接等敏感信息泄露。涉及單位:聊城大學(xué)、山東師范大學(xué)、山東旅游職業(yè)學(xué)院、山東商業(yè)職業(yè)技術(shù)學(xué)院、齊魯師范學(xué)院、魯東大學(xué)、山東交通學(xué)院、山東財(cái)經(jīng)大學(xué)燕山學(xué)院、山東農(nóng)業(yè)大學(xué)、齊魯醫(yī)藥學(xué)院、青島求實(shí)職業(yè)技術(shù)學(xué)院、濟(jì)南工程職業(yè)技術(shù)學(xué)院、濟(jì)南護(hù)理職業(yè)學(xué)院、山東理工大學(xué)、濟(jì)寧醫(yī)學(xué)院、泰安市教育局、淄博市教育局、日照市教育局、菏澤市教育局。
五、邏輯漏洞
共發(fā)現(xiàn)7次。邏輯漏洞是指由于程序邏輯不嚴(yán)或邏輯太復(fù)雜,導(dǎo)致一些邏輯分支不能夠正常處理或處理錯(cuò)誤,一般出現(xiàn)在任意密碼修改(沒有舊密碼驗(yàn)證)、越權(quán)訪問、密碼找回、交易支付金額。涉及單位:聊城大學(xué)、山東職業(yè)學(xué)院、濟(jì)南大學(xué)、棗莊市教育局、濟(jì)寧市教育局、日照市教育局。
六、任意文件上傳漏洞
共發(fā)現(xiàn)6次。任意文件上傳指攻擊者通過上傳可執(zhí)行腳本功能的文件從而獲取服務(wù)器端可執(zhí)行命令的權(quán)限。惡意攻擊者可以利用此漏洞,可獲得網(wǎng)站W(wǎng)ebshell權(quán)限,可任意操作網(wǎng)站及數(shù)據(jù)信息。涉及單位:聊城大學(xué)、山東特殊教育職業(yè)學(xué)院、泰安市教育局。
七、暗鏈漏洞
共發(fā)現(xiàn)6次。暗鏈?zhǔn)呛诳屯ㄟ^網(wǎng)站漏洞篡改頁面源代碼,以隱蔽的方式植入不易被覺察的代碼鏈接到其他網(wǎng)站,達(dá)到對(duì)其他網(wǎng)站的宣傳,因此被植入暗鏈一般說明網(wǎng)站已被攻陷。暗鏈往往被鏈接到黃賭毒、詐騙甚至反動(dòng)等非法網(wǎng)站,對(duì)政府和企事業(yè)單位的影響較大。涉及單位:山東師范大學(xué)、山東科技大學(xué)、棗莊學(xué)院、煙臺(tái)大學(xué)、淄博市教育局、德州市教體局。
八、遠(yuǎn)程命令執(zhí)行漏洞
共發(fā)現(xiàn)6次。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯(cuò)誤信息,導(dǎo)致遠(yuǎn)程攻擊者可通過發(fā)送惡意構(gòu)造的HTTP數(shù)據(jù)包,利用該漏洞在受影響服務(wù)器上執(zhí)行系統(tǒng)命令,最終可完全控制該服務(wù)器,造成拒絕服務(wù)、數(shù)據(jù)泄露、網(wǎng)站遭篡改等后果。涉及單位:山東科技大學(xué)、山東商業(yè)職業(yè)技術(shù)學(xué)院、山東商務(wù)職業(yè)學(xué)院、山東凱文科技職業(yè)學(xué)院。
九、暴力破解漏洞
共發(fā)現(xiàn)3次。暴力破解指攻擊者枚舉其準(zhǔn)備的用戶名和密碼字典同時(shí)進(jìn)行登錄,通過響應(yīng)結(jié)果從而得到正確用戶名和密碼的過程。惡意攻擊者可以利用此漏洞,可對(duì)網(wǎng)站進(jìn)行暴力破解攻擊。涉及單位:聊城大學(xué)、青島市教育局。
十、跨站請(qǐng)求偽造漏洞
共發(fā)現(xiàn)2次。CSRF(跨站請(qǐng)求偽造)漏洞指攻擊者引誘用戶訪問頁面,攻擊頁面使用該用戶身份在第三方網(wǎng)站自動(dòng)進(jìn)行操作。攻擊者可利用該漏洞誘騙用戶在不知情情況下執(zhí)行未授權(quán)操作。涉及單位:青島市教育局。
十一、目錄遍歷漏洞
共發(fā)現(xiàn)2次。目錄遍歷是由于Web服務(wù)器或者Web應(yīng)用程序?qū)τ脩糨斎氲奈募Q的安全性驗(yàn)證不足而導(dǎo)致的一種安全漏洞,使得攻擊者通過利用一些特殊字符就可以繞過服務(wù)器的安全限制,訪問任意的文件(可以是Web根目錄以外的文件),甚至執(zhí)行系統(tǒng)命令。涉及單位:聊城大學(xué)、山東師范大學(xué)。
十二、挖礦木馬
共發(fā)現(xiàn)1次。挖礦木馬指黑客將挖礦木馬程序植入受害者的主機(jī),占用CPU資源來幫助黑客挖礦,影響主機(jī)性能。涉及單位:臨沂大學(xué)。
十三、未授權(quán)訪問漏洞
共發(fā)現(xiàn)1次。未授權(quán)訪問指需要安全配置或權(quán)限認(rèn)證的授權(quán)頁面可以直接訪問,導(dǎo)致重要權(quán)限可被操作、企業(yè)級(jí)重要信息泄露。涉及單位:聊城大學(xué)。
十四、任意文件讀取漏洞
共發(fā)現(xiàn)1次。一些網(wǎng)站由于業(yè)務(wù)需求,往往需要提供文件查看或文件下載功能,但若對(duì)用戶查看或下載的文件不做限制,則惡意用戶就能夠查看或下載任意敏感文件,這就是文件查看與下載漏洞。涉及單位:山東財(cái)經(jīng)大學(xué)。
請(qǐng)以上安全事件涉及單位確認(rèn)是否已修復(fù)安全漏洞(具體信息見附件),切實(shí)消除安全事件影響。對(duì)未及時(shí)處理安全事件的單位我廳將再次通報(bào)督辦或約談。各單位務(wù)必加強(qiáng)組織領(lǐng)導(dǎo),明確主體責(zé)任,增強(qiáng)安全防范意識(shí)和防護(hù)能力,提高發(fā)現(xiàn)問題和處置安全事件的能力。
成考錄取分?jǐn)?shù)線是多
時(shí)間:2024-06-12 17:0:18吉林省普通話考試報(bào)
時(shí)間:2024-06-12 17:0:33高考成績一樣怎么排名
時(shí)間:2024-06-07 17:0:09高校專項(xiàng)報(bào)名流程及
時(shí)間:2024-06-07 17:0:08