Если на сайте много форм, то лучше вего воспользоваться программой для поиска уязвимостей. Одним из самых продвинутых считается Acunetix Web Security Scanner, его сможете найти на торентах.
Самый лучший способ проверить сайт на XSS - проверить исходный код.
Основная причина возникновения XSS - отсутствие фильтрации пользовательского ввода на (&, <, >, ", ')
Большинство современных ORM, шаблонизаторов в языках выполняют эскейпинг пользовательских данных, что должно защищать от XSS. К сожалению часто разработчики выключают эти проверки руками.
Кстати, я один из разработчиков сканера уязвимостей, в том числе и XSS - https://metascan.ru
Можете попробовать сканер или просто поспрашивать наших ребят. support@metascan.ru
My<cod/>.net
