2026-03-17 22:32:02 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详述了将HTML注入升级为高危XSS的实战案例。作者面对WAF拦截与IP封禁，通过学习IP轮换技术，利用模糊测试发现特定标签与WebKit专属事件，结合字符串拼接与window.name技巧成功绕过防护，最终将CVSS评分提升至9.3分，体现了耐心挖掘与技能提升的重要性。 综合评分： 89 文章分类： WEB安全,渗透测试,漏洞分析,实战经验

cover_image

将超出漏洞范围的 HTML 注入升级为高危 9.3 分 XSS 漏洞（绕过 WAF）

原创

骨哥说事骨哥说事

骨哥说事

2026年3月16日 13:46 上海

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

防走失：https://gugesay.com/

不想错过任何消息？设置星标↓ ↓ ↓

引言

在漏洞众测中，耐心是最有用的武器，有时发现的漏洞本身并无利用价值，必须进一步深挖才能产生实际危害。本文讲述国外白帽小哥如何从一个简单且超出范围的漏洞入手，被严格WAF拦截后，等待2个半月学习新技能，最终将其升级为高危9.3分反射型XSS（跨站脚本）的全过程。

第一章：超出范围的漏洞与WAF拦截

事情始于12月中旬，白帽小哥在某政府部门的漏洞披露项目（ target.com ）中进行漏洞挖掘。测试某接口时发现， q.LIKE 参数会将输入内容直接回显到页面。

简单测试后确认可实现HTML注入，但存在一个关键问题：项目规则明确写明，HTML注入属于超出漏洞接收范围。想要提交有效漏洞报告，必须将其升级为XSS（跨站脚本）。

白帽小哥尝试直接输入简单的 <script>alert(1)</script>，结果被拦截。目标站点部署了防护力度极强的AWS WAF，更麻烦的是，该WAF带有严格的封禁机制。每次检测到恶意载荷，都会将IP封禁5分钟。当时白帽小哥还不会使用IP轮换，手动测试搭配5分钟封禁，根本无法正常开展测试。

研究陷入僵局，但小哥没有关闭该标签页，而是将其保留在浏览器中，转而学习新的技术。

第二章：2个半月的沉淀与能力提升

在接下来的两个半月里，这个标签页一直保持打开。这段时间小哥专注学习，研究高阶XSS利用技巧，更重要的是学会了在Burp Suite中配置IP轮换功能。

启用IP轮换后，WAF的5分钟封禁不再构成阻碍，小哥准备重新对目标进行测试。

第三章：PortSwigger学习笔记中的测试方法

白帽小哥按照从PortSwigger Web安全学院学到的方法，分步对WAF进行测试。

步骤1：HTML标签模糊测试首先需要确定WAF允许哪些标签。小哥将请求发送到Burp Intruder，使用HTML标签列表（、、

步骤2：事件处理器模糊测试只拿到可用标签还不够，小哥再次使用Burp Intruder，对标签内的JavaScript事件处理器（如 onload、onerror 等）进行模糊测试。

几乎所有事件处理器都被拦截，但有一个事件处理器返回了200 OK： onwebkitpresentationmodechanged。WAF开发人员拦截了常规事件处理器，却漏掉了这个WebKit内核（Safari浏览器）专属的事件。

第四章：最终绕过方案（字符串拼接）

白帽小哥已经拿到可用的标签

但WAF仍在对代码内容进行检测，直接编写 window.location 或 javascript:alert(1) 都会被拦截。为绕过检测，小哥使用字符串拼接，把被拦截的关键词拆分成小段，使WAF无法正常识别。

不直接写 window.location，而是写成： window[‘loca’+’tion’]。

为让Payload完全避开WAF检测，小哥还使用了 window.name 技巧。

最终攻击链：

构造恶意HTML页面，设置： window.name = “javascript:alert(document.domain)”
该页面将受害者跳转到存在漏洞的URL
注入后的载荷大致如下： ...<video/controls/src="..."/onwebkitpresentationmodechanged="window['loca'+'tion']=window['na'+'me']"></video>...
当Safari用户播放视频或开启画中画模式时，该WebKit专属事件被触发
浏览器执行隐藏在 window.name 中的恶意Payload

结论

小哥将完整报告提交到漏洞平台，研判团队确认该WAF绕过有效，将漏洞评定为高危级别（CVSS 9.3）并收录。

经验总结：如果发现某个漏洞不在接收范围内，不要直接放弃。遇到WAF拦截时，先暂停测试，学习新技能，再以更强的状态回来。永远不要关掉那个关键标签页！

原文：https://medium.com/@housien.a.khalek19/escalating-an-out-of-scope-html-injection-to-a-critical-9-3-xss-waf-bypass-12b194d6a1df

END –

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事骨哥说事骨哥说事《将超出漏洞范围的 HTML 注入升级为高危 9.3 分 XSS 漏洞（绕过 WAF）》