David

Зависит от того, сколько приносит ваш сайт. И того, сколько вы можете потерять при его взломе\простое.

Если вы готовы вложить в аудит 700.000 - 3.000.000 рублей, то можно обратиться к компаниям из "высшей лиги"
Positive Technologies, Group IB, Digital Security

Если 300.000 - 500.000 рублей, то можно посмотреть в сторону небольших компаний. Таких как
Deteact, ONsec, INCsecurity, Metascan

Если бюджет меньше 100.000 рублей, то можно обратиться к автоматизированным системам поиска уязвимостей
Qualys, опять же Metascan, Acunetix, Detectify и дать своему админу их отчет.

Для того, чтобы самому разобраться в том, какие уязвимости бывают и как их найти, стоит начать с руководства от OWASP: https://www.owasp.org/images/9/96/OWASP_Top_10-201...
Это главный в интернете сборник знаний по атакам\защите веб-приложений.

Привет! Действительно, за проверку ссылок на XSS в браузерах отвечает специальный движок. В Chrome он наиболее серьезный и называется XSS-Auditor.

Существуют специальные формы XSS для его обхода.
Актуальные байпасы для Chrome можно найти тут: https://github.com/EdOverflow/bugbounty-cheatsheet...

Также свой сайт на наличие XSS и других OWASP-TOP10 уязвимостей можно с помощью сканера: https://metascan.ru