Хм, XSS сама по себе обычно ничего изменять не может. Там XSS'ок полно было, но была POST-скуль, которая собственно и позволяла (наверное) взять сайт под контроль. Уязвимым был скрипт thank_you.asp, теперь его убрали.