Pues nada que he descubierto un buscador vulnerable a ataques XSS pero eso no es lo raro. Lo raro es que primero pongo:
<script>alert('hola');</script> y cuando vuelvo a buscar otra cosa me vuelve a salir el mensaje hola.
depues he puesto <script>alert('adios');</script> y sale hola y despues adios. Parece como si se publicaran los contenidos en dicha web. La he visualizado condiferentes navegadores y me sigue saliendo. Parece como si se publicara dicho codigo al realizar la busqueda.
Saludos 

rey11, esta bie que busques bugs, pero no es necesario crear un post nuevo por cada uno que descubres si es un sistema aisaldo.

no te digo que pongas las web, de hecho si la pones, yo la borro, pero como ya te he dicho por MP, a los demas les da igual si encuentras una vuln. en una pagina desconocida, pero si encuentras en un script que este distribuido, es de dominio publico, porque si alguien usa ese script querra saber que existe el bug para evitar usarlo, o almenos colocarle un parche.

te recomiendo que si tienes dudas de XSS o SQL Iny. postees tus dudas en posts de esos temas y no uno nuevo por cada uno, sinembargo si encuetras bugs en programas distribuidos, te daremos las gracias si lo publicas aqui (despues de alertar a los desarrolladores claro).

Si el bug es muy peligroso, lo tendre que mover la foro privado, por obvias razones, pero yo te avisare con anterioridad, tambien es posible que los desarrolladores te digan que no publiques el bug hasta tal fecha a lo cual te recomiendo hagas caso, tengo unos amigos en securityfocus, y si el bug es de aplicaciones distribuidas, puede que salgas en el bid

Saludos!!

Tema aclarado, lo que pasaba es que la aplicacion mostraba las ultimas busquedas realizadas por el usuario al final de la pagina y yo tan ciego sin verlo 
Cierro el tema, si el moderador quiere reabrirlo adelante pero creo que la duda ya la tengo aclarada y es culpa mia de tener los ojos tan ciejos y no fijarme en algo tan sencillo  :'(