Según la OWASP, los ataques XSS son los vencedores en cuanto a la explotación de vulnerabilidades XSS.
En la siguiente nota se muestra el uso de algunas herramientas gratuitas para auditar el sitio web para la búsqueda de vulnerabilidades, que espero que les resulte de interés.
http://cert.inteco.es/cert/Notas_Actualidad/auditando_vulnerabilidades_xss_20120404?postAction =getLatestInfo