辽宁教育云平台登录入口在哪？快速访问指南

山东教育云服务台登录入口：http://www.sdei.edu.cn/wcms/wwwroot/sdedu/index.shtml

各市教育（教体）局辽宁省教育云平台登录入口辽宁省教育云平台登录入口，各高等学校一流范文网，厅属各单位：

我省教育系统网络运行在第二季度时, 总体上处于稳定状态, 然而, 部分教育行政部门以及部分学校的信息系统（网站）, 仍展现出多次出现安全事件的情况, 这些安全事件包含弱口令、远程命令执行以及信息泄露等方面, 在第二季度, 总共监测发现安全事件达228起（其中借助网络安全攻防演练发现86起）, 相较于第一季度而言, 增加了70起。针对监测发现的这些安全事件, 我厅在第一时间, 是通过工作台（http://gzpt.sdei.edu.cn）这种方式进行了通知的, 对于那些未在规定时间对其进行处置的, 也已开展了书面告知。想要进一步强化教育系统网络以及信息安全管理, 现在将第二季度安全状况当中的涉及漏洞情形予以通报告知是这样的:

一、弱口令漏洞

总计被发现了64次, 其中, 弱口令是仅有单纯简单数字以及字母所构成的口令, 就比如这“abcdef”, 还有这“123456”等等诸如此类内容, 它极易遭到破解, 黑客由此能够轻松进入系统去获取并且篡改相关数据, 然而安全设施却很难将其寻觅出来。涉及的单位有, 滨州医学院, 山东建筑大学, 潍坊学院, 山东理工大学, 山东大学, 济宁医学院, 中国海洋大学, 山东科技大学, 曲阜师范大学, 山东商业职业技术学院, 山东铝业职业学院, 山东海事职业学院, 鲁东大学, 山东交通职业学院, 日照职业技术学院, 青岛恒星科技学院, 青岛大学, 临沂大学, 山东现代学院, 中国石油大学, 烟台职业学院, 威海海洋职业学院, 泰山学院, 山东艺术设计职业学院, 山东水利职业学院, 山东农业工程学院, 山东农业大学, 山东化工职业学院, 齐鲁医药学院, 齐鲁师范学院, 枣庄科技职业学院, 山东财经大学东方学院, 山东凯文科技职业学院, 山东信息职业技术学院, 山东政法学院, 青岛港湾职业技术学院, 山东艺术学院, 济南市教育局, 淄博市教育局, 潍坊市教育局, 济宁市教育局, 青岛市教育局。

二、远程命令执行漏洞

总共发现了52次, 这个瑕疵源自上传功能的异常对待函数没能恰当处置用户键入的失误讯息, 致使远方攻击者能借由传送恶意制作的HTTP数据包, 并凭借此漏洞于受波及服务器上面实施系统指令, 最终得以全盘掌控该服务器, 进而引发拒绝服务、数据泄露以及网站被篡改等结果。包括滨州医学院、涉及山东建筑大学、覆盖山东旅游职业学院、有山东理工大学关系、关联山东大学、到曲阜师范大学范围、涉及菏泽医学专科学校、涵盖山东师范大学内、包括山东服装职业学院、与鲁东大学有关、涉及德州职业技术学院、关联枣庄学院、涉及泰山学院、关系山东农业工程学院、关联青岛农业大学、涉及齐鲁医药学院、涵盖山东华宇工学院、涉及滨州职业学院、包括山东协和学院、关联烟台大学、涉及济南市教育局、关联淄博市教育局、涉及泰安市教育局、关联潍坊市教育局、涉及济宁市教育局、关联临沂市教育局。

三、信息泄露漏洞

总共发现了49次, 主要是网站在发布信息的时候, 主动地泄露了个人身份证号等敏感信息, 还包括服务器当中的源代码等信息能够被直接下载利用, 进而导致服务器配置以及数据库连接等敏感信息泄露。山东建筑大学所属一个大范畴, 潍坊学院也在其中, 山东理工大学同样涵盖, 山东大学也被涉及, 济宁医学院也包含在内, 山东科技大学也在这范畴内, 曲阜师范大学也属此列, 潍坊科技学院也在其中, 山东师范大学同样被包含: 山东服装职业学院也在其列, 山东城市建设职业学院也涵盖, 德州职业技术学院也包含, 青岛科技大学也被涉及, 青岛黄海学院也在范畴内, 青岛大学同样被涵盖, 临沂大学也在其中, 淄博职业学院也属, 山东农业大学也属此次范畴, 山东财经大学也被涉及, 曲阜远东职业技术学院也包含, 青岛农业大学也在其中, 齐鲁师范学院也涵盖, 德州学院也为此范畴, 北京电影学院现代创意媒体学院也被涉及, 济南大学也在范畴里, 齐鲁工业大学也涵盖, 山东交通学院也包含, 山东警察学院也被涉及, 潍坊职业学院也在其中, 青岛求实职业技术学院也涵盖, 青岛理工大学琴岛学院也包含, 山东电力高等专科学校也被涉及, 山东圣翰财贸职业学院也在范畴内, 青岛远洋船员职业学院也涵盖, 山东商务职业学院也包含, 聊城职业技术学院也被涉及, 青岛工学院也在里头, 淄博市教育局也为此范畴, 泰安市教育局也包含。

四、SQL注入漏洞

总共发现了16次, 是黑客将SQL也就是数据库操作语言语句插入具有漏洞的页面, 借此欺骗服务器去执行恶意命令, 进而取得对数据库的操作权限, 以此达成获取以及篡改数据的目的, 涉及的单位有济宁医学院、泰山医学院、山东师范大学、山东交通职业学院、日照职业技术学院、青岛黄海学院、青岛恒星科技学院、山东现代学院、威海海洋职业学院、山东艺术设计职业学院、山东化工职业学院、枣庄职业学院、泰安市教育局。

五、暗链漏洞

一共有13次被发现, 暗链是黑客借助网站漏洞去篡改页面源代码, 它是以一种隐匿的方式植入那种不容易被察觉到的代码, 然后链接到别的网站, 以此达成对其他网站的宣传, 所以被植入暗链通常就表明网站已被攻克, 暗链常常会被链接到黄赌毒、诈骗乃至反动等非法网站, 在对政府和企事业单位的影响方面比较大, 涉及的单位包括山东铝业职业学院, 淄博职业学院, 青岛飞洋职业技术学院, 济南市教育局, 淄博市教育局, 潍坊市教育局, 菏泽市教育局, 德州市教育局。

六、逻辑漏洞

一共发现了8次, 逻辑漏洞指的是, 因为程序逻辑不严密或者逻辑太过繁杂, 致使一些逻辑分支没办法正常处理或者处理出现错误, 通常出现在任意密码修改（不存在旧密码验证）、越权访问、密码找回、交易支付金额方面, 涉及的单位有, 中国海洋大学、山东科技大学、泰山医学院、山东商业职业技术学院、山东财经大学、山东外国语职业学院。

七、任意文件上传漏洞

总共发现次数为8次, 其中任意文件上传是指, 攻击者借助上传那种具备可执行脚本功能的文件, 进而取得服务器端可执行命令的权限权限, 恶意攻击者能够借此漏洞, 获得那网站WebShell权限, 能够任意地对网站还有数据信息进行操作, 涉及单位有中国海洋大学, 曲阜师范大学, 山东师范大学, 山东商业职业技术学院, 山东服装职业学院, 山东交通职业学院, 山东现代学院, 山东水利职业学院。

八、跨站脚本漏洞

总共发现了5次, 跨站脚本漏洞也就是XSS攻击, 一般讲的是借助网页开发遗留的漏洞, 运用巧妙办法往网页注入恶意指令代码, 让用户加载并运行攻击者恶意炮制的网页程序, 这些恶意网页程序通常是java script, 不过实际上也能够涵盖Java、VBScript、ActiveX、Flash或者普通的HTML, 攻击成功以后, 攻击者有可能获取更高权限比如能执行一些操作、私密网页内容、会话以及cookie等各类内容。牵扯到的单位有, 山东大学, 曲阜师范大学, 烟台职业学院, 曲阜远东职业技术学院, 泰山医学院。

九、WebShell漏洞

总计发现了4次, WebShell是那种运行在服务器端的一段网页代码, 借助某些危险的操作, 能够从中获取敏感的技术信息, 或者凭借渗透提权来得到服务器的控制权, 可以说它通常是攻击者用以控制服务器的一条通道, 相较于一般的入侵而言, 更具备隐蔽性。涉及的单位有山东城市建设职业学院, 还有鲁东大学, 以及临沂大学。

十、目录遍历漏洞

一共发现了3次, 目录遍历是这样一种安全漏洞, 它是因为Web服务器亦或是Web应用程序, 对于用户输入的文件名称, 在安全性验证方面有所欠缺才出现的, 这致使攻击者借助部分特殊字符, 能够绕过服务器的安全限制。进而可以访问任意的文件, 这里所说的文件可以是在Web根目录以外的文件, 甚至还能够执行系统命令。涉及的单位有山东理工大学, 还有中国海洋大学, 另外还有潍坊科技学院。

十一、未授权访问漏洞

一共被发现了3次, 未授权访问意味着, 那些需要进行安全配置或者权限认证的授权页面, 能够被直接访问, 进而致使重要权限会遭到越权操作, 重要信息出现泄露, 涉及的单位有滨州医学院、青岛科技大学、济宁市教育局。

十二、XXE漏洞

总共被发现了1次, XXE漏洞的全称是XML External Entity Injection, 也就是XML外部实体注入漏洞, XXE漏洞出现于应用程序解析XML输入之际, 并未禁止外部实体的加载, 致使能够加载恶意外部文件, 进而造成文件读取、命令执行、内网端口扫描、攻击内网网站以及发起攻击等危害, XXE漏洞触发的地方常常是能够上传XML文件的位置, 没有对上传的XML文件加以过滤, 从而致使能够上传恶意XML文件。涉及单位：山东劳动职业技术学院。

十三、短信轰炸漏洞

总共被发现了1次, 短信轰炸是指, 对于发送信息功能的调用, 没有做出任何限制, 能够针对某一个用户, 在短时间之内, 发送大量的垃圾短信, 进而造成短信轰炸攻击, 对于企业而言, 每发送一条短信, 都需要向运营商交付一定的费用, 虽然比个人用户的费用要低, 然而一旦被恶意利用, 大量发送之后, 就会造成较大的直接经济损失, 涉及的单位是山东大学。

十四、永恒之蓝漏洞

共被发现了1次, 在2017年4月14日那个晚上, 黑客团体Shadow Brokers（影子经纪人）公布了一大批网络攻击的工具, 其中有着包含“永恒之蓝”的工具, “永恒之蓝”凭借利用Windows系统的SMB漏洞能够获取系统的最高权限, 涉及的单位是济宁医学院。

请涉及上述安全事件的单位, 确认已将安全漏洞修复, 具体信息可见附件, 切实把安全事件带来的影响消除掉。对于那些未及时处理安全事件的单位, 我厅将会再次进行通报督办, 要不就约谈。各个单位必须加强组织方面的领导, 明确主体所负的责任, 增强安全防范的意识以及防护的能力, 提升发现问题还有处置安全事件的能力。