Hoy traigo una tecnica muy bonita (como el pescado) ;D
vamos a google y buscamos check my user agent y entramos en la primera (se supone que es la mejor) http://mybrowserinfo.com/ (http://mybrowserinfo.com/)modificamos nuestro user agent ponemos ponemos codigo html y magia tienes un XSS y seguro que un sqli aunque no quiero dar ideas ;)
(http://s28.postimg.org/w2psq0ot8/Pantallazo.jpg)
yo puse esto en el user agent
"'/>;.>//<h1>v4char</h1><script>alert("hola");</script>
pero puedes probar con sqli
ooooo teneis mi ip.