一般去哪些网站学习、挖过src吗？在哪里提交？提交过哪些漏洞？XSS、SSRF、csrf、XX漏洞的区别是什么？对应如何修复？

我平时常在HackerOne、漏洞盒子这些平台上逛逛，看看最新的漏洞信息和攻击技术。SRC我也挖过不少，像一些大厂的SRC我都参与过。挖到漏洞后，我就直接在SRC平台上提交，等他们审核。

学习网站包括：阿里的先知社区、FreeBuf、奇安信技术社区、安全客等。挖过SRC，一般权重高的提交给补天漏洞平台、权重低的提交给漏洞盒子、教育相关的漏洞提交给edusrc。XSS是跨站脚本、SSRF是服务器端请求伪造、CSRF是跨站请求伪造、XXE是XML外部实体漏洞。利用XSS漏洞可以获取用户的Cookie信息，而CSRF只是借用登录用户的身份，拿不到用户的Cookie信息。SSRF主要是探测用户的内网信息。XXE可以获取到服务器的文件信息。