Buenas!!!
creo que encontre un XSS usando facebook
cuando creo una fanpage, inserto un script como nombre de la misma:
yo le puse de nombre a mi fanpage asi: "<script>alert("Vulnerable");</script> "
http://img29.imageshack.us/si.php?img=eliminacion1.jpgal momento de eliminar la fanpage antes de pedir la confirmacion, se ejecuta el script!!
http://img63.imageshack.us/si.php?img=eliminacion2.jpgsalu2!!!