Проверяется, так же как всегда например (если нет фильтров): "><script>alert("xss");</script>, если сработает алерт, то есть xss.
Но вообще в статье приведен только лишь пример с уязвимым полем логин, на самом деле уязвимость может присутствовать в любом месте страницы, например в поиске. При этом метод будет работать, необходимо чтобы уязвимость присутствовала именно на странице с формой аутентификации.