无描述...

漏洞描述

uzy-ssm-mall v1.0.0 存在跨站脚本攻击（XSS）漏洞。由于web.xml中未配置 XSS 过滤器，也未对用户输入进行转义防护，导致攻击者可以在任意输入点注入恶意脚本，从而在用户浏览器中执行任意代码。该漏洞影响全站，可能导致用户会话劫持、数据泄露等严重后果。

漏洞位置

web.xml

代码审计过程

1. 漏洞文件路径 / 文件名：web.xml
2. 代码分析：
3. 代码中未使用任何 XSS 过滤器或转义函数，如 htmlspecialchars 或 htmlentities。
4. 在用户输入点未对输入内容进行任何过滤或转义。
5. web.xml 中未配置 XSS 过滤器，仅配置了登录拦截过滤器。

POC（Proof of Concept）

举例一个输入点：

http(s)://target-ip/mall/product?product_name=</title><script>alert(1)</script><title>