Eu estudei o site da OWASP, que cobre as maiores ameaças atuais à segurança de sites como um testador de software e testei o básico.
Depende do tipo de ataque que eles estão fazendo. Alguns usam a barra de URL para inserir informações, outros dizem que o Google usaria a página de login e tentaria entrar em uma conta de administrador. A maioria usa software para fazer isso. É importante higienizar seus possíveis insumos por esse motivo. Caso contrário, você pode obter o famoso problema de tabelas de queda do XKCD, que é fácil de fazer.
Google OWASPS para mais informações sobre os maiores problemas que são classificados por sua facilidade de ataque. Alguns uma criança poderia fazer. Nenhuma piada