Есть 2 сайта. Оба почти на одном самописном движке. При проверке прогой Subgraph Vega. На первом сайте не найдено ни одной XSS уязвимости. На втором сайте найдено их очень много, часть из них применяются просто к обычным директориям. Во всех этих директориях лежат индексные файлы для редиректа на главную. Например, в корне лежит папка img/ найдена уязвимость с таким запросом:
GET /img/--%3E%22%3E'%3E'%22%3Cvvv000004v431910%3E