É possível saber o que exatamente está fazendo o javascript quando está rodando?

Firebug é seu amigo. Ele permite que você veja todas as chamadas que estão sendo feitas, quanto tempo elas levam e outras ótimas informações.

Vale a pena destacar que o Javascript é executado em um ambiente de área restrita. Isso significa que o XSS pode permitir, no pior dos casos, que um site malicioso execute JavaScript no contexto de um site (vulnerável) diferente e execute ações como se fosse o site vulnerável.

Por exemplo, se você visitar www.youtube.com que tem anúncios de www.evil_side_adverts.com e enviar você para um XSS em www.google.com, o site www.evil_side_adverts.com poderá executar o javascript em www. google.com na sua máquina e pode interagir com www.google.com como se fosse você.

Isso significa que ele pode roubar seus cookies, fazer solicitações em seu nome (mas não fazer login) e geralmente se comportar mal. Quando o navegador ou a página da Web fecha, o XSS termina e não ocorre mais maldade em sua máquina.

A principal característica aqui é que, mesmo se você for atacado por um XSS em um site que você usa, o invasor não consegue executar malware em seu sistema e não consegue ver os documentos em sua máquina. ou instalar programas maliciosos em sua área de trabalho.

Também vale ressaltar que vários navegadores mais modernos têm atenuações para reduzir o efeito de alguns tipos de vulnerabilidade XSS. Certifique-se de que está a utilizar, pelo menos, o IE9 ou uma versão recente do Firefox, Chrome ou Opera para se certificar de que está totalmente protegido.