2020年9月的一天，天气晴朗，风宜人。我默默翻开日历，打算看看今天的运势。我应该划

水，聊天，睡觉。这和我努力和积极的性格不太相符。我在打坐的时候，突然收到一条消息:中

秋节快到了，所有src都发月饼了！还有一张月饼一分的截图。SRC？中秋节？月饼？发送？我

热衷于从单词中闻到不同的味道，当我不太了解的时候我会抬头看。虽然我还是一个迷倒了千

百个女生的18岁迷人小伙子，以前也没钻过空子，但不影响我灵活的思维。

 

 

我精心的计划是:
 

1.了解什么是SRC。
 

2.找个漏洞提交申请。
 

3.吃月饼。
 

于是自力更生，自力更生，我坚决百度SRC，竟然是机器学习！下一步就是再找一个漏洞。以

我扎实的基础，想到一个绝妙的有效载荷。什么都有，只需要一个网站！太美了！百度是国内

知名的src，那随便挑一个吧！看哪个？先说腾讯。毕竟作为百星荣耀的冠军，腾讯还是要给

面子的！先去嫖他的月饼！

 

计划实施。
 

1.打开链接，嗯？为什么直接弹出问卷？好的，我填一下。点击立即填写并跳转到一个域名

https://wj.qq.com/我填，填，填，填越来越气，你让我填，我不想面对？然后，我与生俱来的

邪恶。看我xss！。
 

2.出来！然后我关闭页面，再次打开，提示内容已经保存，可以继续填写。单击继续填写，直

到有效负载页面仍然保存，并出现一个弹出框。你有月饼吗？嗯？这是...真的吗？不会吧？当

然不是！咳咳，毕竟是第一次提交申请，但是有点着急，不过问题不大，因为第二次再填的时

候上面还是触发了。以我丰富的经验，我觉得是储物XSS，急着要月饼！

 

 

为了验证我的猜测，我登录了腾讯问卷，点击了创建问卷。由于触发点是用户输入的其他内容

，所以我根据这个触发点创建了调查问卷。创建完成后，单击开始回收并复制链接以填写调查

问卷。完成后，进入后台，点击我的问卷-回收数据，即可看到用户提交申请的内容。如下图

所示，可以看到用户的有效负载没有被触发，嗯？就在我点击编辑按钮查看用户输入，准备亮

出身手看是不是逃了的时候，嗯嗯，触发了……那个帅气迷人的我此刻。然后，我坚决提交申

请等待时间点，积极帮助工作人员解决问题。最后，得到两个积分。当我兴奋地出发的时候！

月饼月饼月饼！没有月饼！为什么是伞？我明白了。后来我才知道原来是狗的一分。这时我不

禁想到问卷测试中我最喜欢的动物是狗，但原来我有自己的安排。但是我一点也不慌张，因为

我还有planB！经过最后的训练，我已经成长为一名经验丰富的挖掘者，擅长挖掘XSS的各种

漏洞。现在我就从狗开始！颤抖！狗！同上！等久了，你就拿到分了！虽然只有两个！