Dùng XSS hơi khó deface, mà đây là ở ô tìm kiếm nữa. Còn riêng vụ báo thì mình mới báo cho bên HP thôi. Bên KĐ để xem có SQLi ko đã.
Nói chung XSS chỉ phát huy "nội công" nếu nó là một trường nào đó có thể được gọi liên tục như họ và tên, tên tài khoản.