mira esta pagina te hace una especie de test de seguridad
probala a ver si te sirve

https://detectify.com/

si tenes definido el atributo action por XSS tambien te lo pueden modificar ..

pero para vos estar seguro siempre valida todo los post o get que lleguen a tu servidor , y tratar de quitar de adentro del document root todo lo que no quieres que sea accesible..

saludos