站内搜索:

关于2019年第一季度教育系统网络与信息安全情况的通报


    日期:2019-04-23

各市教育(教体)局,各高等学校,厅属各单位:

  2019年第一季度,我省教育系统网络运行总体稳定,但部分教育行政部门和学校的信息系统(网站)仍多次出现SQL注入、跨站脚本攻击等安全漏洞。第一季度共监测发现安全事件158起,比2018年第四季度增加41起,教育系统网络安全形势不容乐观,各单位要认清网络安全形势,加强网络安全工作。对监测发现的安全事件,我们第一时间通过工作平台(http://gzpt.sdei.edu.cn)进行了通知,对未在规定时间进行处置的进行了书面告知。为进一步加强教育系统网络与信息安全管理,现将第一季度安全漏洞情况通报如下:

       一、 SQL注入漏洞

  共发现38次。即黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:聊城大学、山东农业工程学院、山东财经大学、山东师范大学、山东商业职业技术学院、山东艺术学院、齐鲁师范学院、齐鲁理工学院、山东艺术设计职业学院、齐鲁工业大学、济南大学、东营职业学院、枣庄科技职业学院、泰安市教育局、枣庄市教育局、济南市教育局、青岛市教育局、济宁市教育局。

       二、 跨站脚本漏洞

  共发现31次。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和Cookie等各种内容。涉及单位:聊城大学、山东旅游职业学院、齐鲁理工学院、山东艺术设计职业学院、鲁东大学、山东体育学院、山东凯文科技职业学院、山东工艺美术学院、泰安市教育局、临沂市教育局、淄博市教育局、枣庄市教育局、济南市教育局、东营市教育局、济宁市教育局、威海市教育局、潍坊市教育局。

       三、 弱口令漏洞

  共发现31次。弱口令指的是仅包含简单数字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:聊城大学、山东农业工程学院、山东财经大学、山东师范大学、山东旅游职业学院、山东商业职业技术学院、齐鲁师范学院、齐鲁理工学院、山东艺术设计职业学院、齐鲁工业大学、山东职业学院、山东体育学院、山东商务职业学院、济南职业学院、泰安市教育局、临沂市教育局、枣庄市教育局、济南市教育局、威海市教育局。

       四、 信息泄露漏洞

  共发现23次。主要是网站发布信息时主动泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:聊城大学、山东师范大学、山东旅游职业学院、山东商业职业技术学院、齐鲁师范学院、鲁东大学、山东交通学院、山东财经大学燕山学院、山东农业大学、齐鲁医药学院、青岛求实职业技术学院、济南工程职业技术学院、济南护理职业学院、山东理工大学、济宁医学院、泰安市教育局、淄博市教育局、日照市教育局、菏泽市教育局。

       五、 逻辑漏洞

  共发现7次。逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。涉及单位:聊城大学、山东职业学院、济南大学、枣庄市教育局、济宁市教育局、日照市教育局。

       六、 任意文件上传漏洞

  共发现6次。任意文件上传指攻击者通过上传可执行脚本功能的文件从而获取服务器端可执行命令的权限。恶意攻击者可以利用此漏洞,可获得网站Webshell权限,可任意操作网站及数据信息。涉及单位:聊城大学、山东特殊教育职业学院、泰安市教育局。

       七、 暗链漏洞

  共发现6次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站,对政府和企事业单位的影响较大。涉及单位:山东师范大学、山东科技大学、枣庄学院、烟台大学、淄博市教育局、德州市教体局。

       八、 远程命令执行漏洞

  共发现6次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:山东科技大学、山东商业职业技术学院、山东商务职业学院、山东凯文科技职业学院。

       九、 暴力破解漏洞

  共发现3次。暴力破解指攻击者枚举其准备的用户名和密码字典同时进行登录,通过响应结果从而得到正确用户名和密码的过程。恶意攻击者可以利用此漏洞,可对网站进行暴力破解攻击。涉及单位:聊城大学、青岛市教育局。

       十、 跨站请求伪造漏洞

  共发现2次。CSRF(跨站请求伪造)漏洞指攻击者引诱用户访问页面,攻击页面使用该用户身份在第三方网站自动进行操作。攻击者可利用该漏洞诱骗用户在不知情情况下执行未授权操作。涉及单位:青岛市教育局。

       十一、 目录遍历漏洞

  共发现2次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:聊城大学、山东师范大学。

       十二、 挖矿木马

  共发现1次。挖矿木马指黑客将挖矿木马程序植入受害者的主机,占用CPU资源来帮助黑客挖矿,影响主机性能。涉及单位:临沂大学。

       十三、 未授权访问漏洞

  共发现1次。未授权访问指需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、企业级重要信息泄露。涉及单位:聊城大学。

       十四、 任意文件读取漏洞

  共发现1次。一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。涉及单位:山东财经大学。

  请以上安全事件涉及单位确认是否已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。

 

 

  附件:安全事件具体信息(略)

 

  山东省教育厅

   2019年4月23日