Er bestaan verschillende programma's die een site na scannen op SQL lekken en XSS lekken(Googlen).

Als je het handmatig wilt doen kun je even voor je zelf wat attack patterns schrijven en deze dan steeds invoeren bij je input velden. Ook even stunten met je URL.
Vooral het testen met JS is goed, zie je gelijk of het XSS lekken bevat.

Als je misbruik wilt maken van lekken moet je nadenken, dat moet je dus ook doen om ze te vinden. Denk na over mogelijke security issues, kijk in je code, en probeer uit.

Alles controleren waar de gebruiker input geeft. Ook even kijken of, indien je deze hebt, al je GETS veilig zijn.

https://www.owasp.org/index.php/OWAS…k_Proxy_Project

Zelf wel nog nooit geprobeerd, maar heb er mooie dingen over gehoord op Fosdem dit jaar.

Als je er een variabele van maakt is kan je bijvoorbeeld htmlspecialchars of htmlentities gebruiken