文章总结： 本文详细拆解原型污染配合DOMXSS的组合漏洞挖掘实战流程，分为三步：首先通过proto[foo]=bar参数验证原型污染源；其次在JS文件中定位未显式定义value的Object.defineProperty逻辑作为利用点；最后通过污染补全value属性注入data:协议XSS载荷触发弹窗，提供可复用的赏金猎人测试方法。 综合评分： 86 文章分类： web安全,漏洞分析,实战经验,渗透测试

原型污染 + DOM XSS，赏金猎人必会的挖洞连招

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年5月17日 00:09 广东

在小说阅读器读本章

去阅读

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

今天这边用通俗的方式，带你一步步走完一个经典组合漏洞的挖掘过程【原型污染配合DOM XSS】。整个过程会拆成三个清晰的阶段，每一步都告诉你做什么、怎么看、为什么能成，非常适合赏金猎人在日常测试中快速复用。

第一步：确认原型污染源

构造测试请求

打开目标网站，在URL后面加上参数：

/?__proto__[foo]=bar

回车访问，查看具体效果。这行参数的意思是，往全局对象Object.prototype上强行挂一个叫foo的属性，值设为bar。

验证污染是否生效

按F12打开浏览器开发者工具，切到“控制台”（Console）面板，输入：

Object.prototype

展开输出结果，如果能找到foo: “bar”这个键值对，说明原型已经被成功污染。

这一步确认了污染源存在，整个利用链的第一个环节打通。

第二步：找到能被利用的代码片段

定位可疑JS文件

在开发者工具里切换到“源代码”（Sources）面板，浏览目标网站加载的JavaScript文件，重点找那些操作DOM、动态添加脚本的地方。

这个案例里，我们关注到一个叫searchLoggerConfigurable.js的文件。

分析关键逻辑

文件里有这么一段逻辑：如果config对象有transport_url属性，就用这个属性的值动态创建一个