登录后点击MemberDogs，Addyourdog头像处可以上传SVG图片检查xsspayload：https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传，发现SVG文件上传成功并返回图片地址poc：https://cfceb12f2bfd-sec875.a.barker

登录后来到Myprofile页面，页面里存在一个EditProfile头像处可以上传SVG图片检查xsspayload：https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传，发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2

登录后来到home页面，留言中存在一个Attachimage检查xsspayload：https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传，发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2bfd-sec875.a.barker-social.com

注册后，来到UIDisplayName处直接点击更新之后，发现反射值的存在尝试一些编码，发现没有任何转换。编码测试更简单，语义一把梭：比如各种华丽花哨的编码到落地并没有被还原成<>'"等语义，此处没有漏洞https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjectio