描述：
在挖src的过程中，挖掘到的xss漏洞占比也不少，下面总结一下我挖掘xss中出现的功能点。
一：(经过后台审核触发)
1.问题反馈、发布评论评价、提问题、写文章、咨询
咨询：

问题反馈：

评价：

等等

总结：刚开始挖洞的时候快乐都是盲打xss给的，每天晚上测试完功能点睡觉，早上被xss平台邮件提醒起床说"饼干到货"，真香。用的盲打payload，触发点都在后台，遇到需要经过后台审核的功能点要多尝试，还有记得截图，不然打太多地方会忘记在哪里输入过payload。等级评分的话看各家厂商吧，都有。

二、(输出点触发点不限)
2.跟进内容、职位详情页面、商铺介绍、个人企业简介、备注、名称、私信页面。
职位详情：(输出点在APP、小程序、Web)

商品介绍：(输出点在Web)

备注：(输出点在Web)

个人简介：(输出点在Web)

等等

总结：如果不确定输出点在哪，建议用盲打payload测试，因为不知道在哪里触发，盲打平台的话会有个location参数输出链接。反正就是多尝试，我挖的全部xss都是没有任何过滤的，主要还是运气和多尝试。这种能打用户的大多定级高危。