Uma falha simples, mas bem comum é o XSS, você coloca `<script>alert(1)</script>` em um input que fala o que você escreveu e vê se ele alerta. Se sim, você pode executar qualquer coisa ai, se não, tá safe.

Sim!! além do XSS que fica do lado do cliente, também temos a injeção de SQL que fica do lado do server que segue a mesma lógica!

Uma falha simples, mas bem comum é o XSS, você coloca alert(1) em um input que fala o que você escreveu e vê se ele alerta. Se sim, você pode executar qualquer coisa ai, se não, tá safe.