Про XSS тема есть http://webcriminal.ru/threads/script-alert-mezhsajtovyj-nezhdanchik-script.17306/ Давайте отдельно поговорим про другие баги...