нубхакер

http://ha.ckers.org/xss.html там снизу есть Character Encoding Calculator
В поле ASCII Text: вставляешь <script>alert('')</script>
Жмешь encode
Дальше содержимое

Decimal Value:
HTML (without semicolons):

Копируешь и подставляешь там где уязвимый параметр