ну молодцы ребята, что тут скажешь... баги слишком хорошо вылавливаются, когда запрос с XSS передается в открытом виде а не после urlencode или полного кодирования... я сам писал когда-то парсер который искал в логе сервака теги типа <script> и сразу стучал на мыло. поэтому, при желании, админы могли бы отлавливать все потенциальные XSSки сразу же, главное установить минимум попыток XSS для определенной переменной чтобы оградиться от ложных срабатываний.