Havij - не сканит, а раскручивае конкретные дыры - это раз.
Havij - не умеет раскручивать XSS - это два.
XSS не раскручивают - это три.

Форма поиска на форуме - пасивная XSS.
POST запрос.
Параметр - "text"
"/><script>alert("XSS")</script>

Страничка profile.php
переменная "u"
Пасивная XSS
http://forum.mcserver.ru/profile.php?u="/><script>alert("XSS")</script>

--- Добавлено в 2011-10-03 16:20:04

Ах, да. Как исправить: написать фильтр, который будет отрезать из запроса мета-символы.


--- Добавлено в 2011-10-03 16:22:38

Опасность этой уязвимости, в том, что можно залить любую кликабельную картинку, и при переходе по ссылке будет невидимый пасивный хсс.
Например
http://forum.mcserver.ru/profile.php?u="/><script>alert(document.cookie)</script>
выдаст куки. Куки не шифруются. Сейчас я мог вам (админ) дать ссылку, и зайти с вашими куками.