Ну если комментарии сохраняются на сайте и если после обновления страницы с комментариями каждый раз выскакивает алерт, то это активная xss, в данном случае тебе надо только отправить в комменте скрипт для кражи кук и заманить жертву на эту страницу. Если же алерт выскакивает только единожды после отправки комментария, а после обновления страницы не выскакивает, то это пассивка, тогда надо будет писать эксплуатирующий скрипт автосабмита или что-то в этом роде. По сути жертву тоже придется заманить на страницу, только уже на свою с кодом автосабмита.

p.s. не надо заставлять жертву саму что-то вводить=) Javascript давно уже все сам делает)