Realmente con un scaneo de seguridad a un sitio podes ver todas las vulnerabilidades del mismo, por medio de este podes incluir cross scripting, csrf, xss, entre otro sin fin de cosas y realmente por medio de esto te pueden meter un shell donde pueden hacer servidor la pc del visitante y por medio de este tomar el control total del pc de este, entonces podrias incluir troyanos, virus, entre otros.

Solucion al problema: Hacer las aplicaciones con mas cuidado y seguras y si tienes tiempo pasale tu propio scaneo de seguridad con alguna herramienta como nessus o algotra similar o usar frameworks q ya vienen "protegidos" contra esto. Ya con esto podrias ir sacando todas las vulnerabilidades de tu aplicacion :D