山東教育云服務臺登錄入口：http://www.sdei.edu.cn/wcms/wwwroot/sdedu/index.shtml

各市教育（教體）局，各高等學校，廳屬各單位：

第二季度，我省教育系統網絡運行總體穩定，但部分教育行政部門和學校的信息系統（網站）仍多次出現弱口令、遠程命令執行和信息泄露等安全事件，第二季度共監測發現安全事件228起（其中通過網絡安全攻防演練發現86起），比第一季度增加70起。對監測發現的安全事件，我廳第一時間通過工作臺（http://gzpt.sdei.edu.cn）進行了通知，對未在規定時間進行處置的進行了書面告知。為進一步加強教育系統網絡與信息安全管理，現將第二季度安全漏洞情況通報如下：

一、弱口令漏洞

共發現64次。弱口令指的是僅包含簡單數字和字母的口令，例如“abcdef”“123456”等，很容易被破解，黑客可以輕易進入系統獲取和篡改數據，而安全設施很難發現。涉及單位：濱州醫學院、山東建筑大學、濰坊學院、山東理工大學、山東大學、濟寧醫學院、中國海洋大學、山東科技大學、曲阜師范大學、山東商業職業技術學院、山東鋁業職業學院、山東海事職業學院、魯東大學、山東交通職業學院、日照職業技術學院、青島恒星科技學院、青島大學、臨沂大學、山東現代學院、中國石油大學、煙臺職業學院、威海海洋職業學院、泰山學院、山東藝術設計職業學院、山東水利職業學院、山東農業工程學院、山東農業大學、山東化工職業學院、齊魯醫藥學院、齊魯師范學院、棗莊科技職業學院、山東財經大學東方學院、山東凱文科技職業學院、山東信息職業技術學院、山東政法學院、青島港灣職業技術學院、山東藝術學院、濟南市教育局、淄博市教育局、濰坊市教育局、濟寧市教育局、青島市教育局。

二、遠程命令執行漏洞

共發現52次。該漏洞是由于上傳功能的異常處理函數沒有正確處理用戶輸入的錯誤信息，導致遠程攻擊者可通過發送惡意構造的HTTP數據包，利用該漏洞在受影響服務器上執行系統命令，最終可完全控制該服務器，造成拒絕服務、數據泄露、網站遭篡改等后果。涉及單位：濱州醫學院、山東建筑大學、山東旅游職業學院、山東理工大學、山東大學、曲阜師范大學、菏澤醫學專科學校、山東師范大學、山東服裝職業學院、魯東大學、德州職業技術學院、棗莊學院、泰山學院、山東農業工程學院、青島農業大學、齊魯醫藥學院、山東華宇工學院、濱州職業學院、山東協和學院、煙臺大學、濟南市教育局、淄博市教育局、泰安市教育局、濰坊市教育局、濟寧市教育局、臨沂市教育局。

三、信息泄露漏洞

共發現49次。主要是網站發布信息時主動泄露個人身份證號等敏感信息，也包括服務器中源代碼等信息可以被直接下載利用導致服務器配置、數據庫連接等敏感信息泄露。涉及單位：山東建筑大學、濰坊學院、山東理工大學、山東大學、濟寧醫學院、山東科技大學、曲阜師范大學、濰坊科技學院、山東師范大學、山東服裝職業學院、山東城市建設職業學院、德州職業技術學院、青島科技大學、青島黃海學院、青島大學、臨沂大學、淄博職業學院、山東農業大學、山東財經大學、曲阜遠東職業技術學院、青島農業大學、齊魯師范學院、德州學院、北京電影學院現代創意媒體學院、濟南大學、齊魯工業大學、山東交通學院、山東警察學院、濰坊職業學院、青島求實職業技術學院、青島理工大學琴島學院、山東電力高等專科學校、山東圣翰財貿職業學院、青島遠洋船員職業學院、山東商務職業學院、聊城職業技術學院、青島工學院、淄博市教育局、泰安市教育局。

四、SQL注入漏洞

共發現16次。即黑客通過把SQL（數據庫操作語言）語句插入存在漏洞的頁面，欺騙服務器執行惡意命令，取得對數據庫的操作權限，以達到獲取和篡改數據的目的。涉及單位：濟寧醫學院、泰山醫學院、山東師范大學、山東交通職業學院、日照職業技術學院、青島黃海學院、青島恒星科技學院、山東現代學院、威海海洋職業學院、山東藝術設計職業學院、山東化工職業學院、棗莊職業學院、泰安市教育局。

五、暗鏈漏洞

共發現13次。暗鏈是黑客通過網站漏洞篡改頁面源代碼，以隱蔽的方式植入不易被覺察的代碼鏈接到其他網站，達到對其他網站的宣傳，因此被植入暗鏈一般說明網站已被攻陷。暗鏈往往被鏈接到黃賭毒、詐騙甚至反動等非法網站，對政府和企事業單位的影響較大。涉及單位：山東鋁業職業學院、淄博職業學院、青島飛洋職業技術學院、濟南市教育局、淄博市教育局、濰坊市教育局、菏澤市教育局、德州市教育局。

六、邏輯漏洞

共發現8次。邏輯漏洞是指由于程序邏輯不嚴或邏輯太復雜，導致一些邏輯分支不能夠正常處理或處理錯誤，一般出現在任意密碼修改（沒有舊密碼驗證）、越權訪問、密碼找回、交易支付金額。涉及單位：中國海洋大學、山東科技大學、泰山醫學院、山東商業職業技術學院、山東財經大學、山東外國語職業學院。

七、任意文件上傳漏洞

共發現8次。任意文件上傳指攻擊者通過上傳可執行腳本功能的文件從而獲取服務器端可執行命令的權限。惡意攻擊者可以利用此漏洞，可獲得網站WebShell權限，可任意操作網站及數據信息。涉及單位：中國海洋大學、曲阜師范大學、山東師范大學、山東商業職業技術學院、山東服裝職業學院、山東交通職業學院、山東現代學院、山東水利職業學院。

八、跨站腳本漏洞

共發現5次。跨站腳本漏洞（XSS）攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序。這些惡意網頁程序通常是java script，但實際上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻擊成功后，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、會話和cookie等各種內容。涉及單位：山東大學、曲阜師范大學、煙臺職業學院、曲阜遠東職業技術學院、泰山醫學院。

九、WebShell漏洞

共發現4次。WebShell是指運行于服務器端的一段網頁代碼，通過某些危險的操作，可獲得敏感的技術信息或者通過滲透提權獲得服務器的控制權，一般是攻擊者控制服務器的一條通道，比一般的入侵更具有隱蔽性。涉及單位：山東城市建設職業學院、魯東大學、臨沂大學。

十、目錄遍歷漏洞

共發現3次。目錄遍歷是由于Web服務器或者Web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞，使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制，訪問任意的文件（可以是Web根目錄以外的文件），甚至執行系統命令。涉及單位：山東理工大學、中國海洋大學、濰坊科技學院。

十一、未授權訪問漏洞

共發現3次。未授權訪問指需要安全配置或權限認證的授權頁面可以直接訪問，導致重要權限可被越權操作、重要信息泄露。涉及單位：濱州醫學院、青島科技大學、濟寧市教育局。

十二、XXE漏洞

共發現1次。XXE漏洞全稱XML External Entity Injection，即XML外部實體注入漏洞，XXE漏洞發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件，造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起攻擊等危害。XXE漏洞觸發的點往往是可以上傳XML文件的位置，沒有對上傳的XML文件進行過濾，導致可上傳惡意XML文件。涉及單位：山東勞動職業技術學院。

十三、短信轟炸漏洞

共發現1次。短信轟炸指對發送信息功能調用未做任何限制可針對某用戶短時間內發送大量垃圾短信，造成短信轟炸攻擊；對于企業，每發一條短信，需向運營商交付一些費用，盡管比個人用戶費用低，但是一旦被惡意利用大量發送后，可造成較大的直接經濟損失。涉及單位：山東大學。

十四、永恒之藍漏洞

共發現1次。2017年4月14日晚，黑客團體Shadow Brokers（影子經紀人）公布一大批網絡攻擊工具，其中包含“永恒之藍”工具。“永恒之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。涉及單位：濟寧醫學院。

請以上安全事件涉及單位確認已修復安全漏洞（具體信息見附件），切實消除安全事件影響。對未及時處理安全事件的單位我廳將再次通報督辦或約談。各單位務必加強組織領導，明確主體責任，增強安全防范意識和防護能力，提高發現問題和處置安全事件的能力。