Evidentemente c'è qualche form che permette agli utenti di caricare codice HTML. Da dove questo avvenga non possiamo dirlo senza conoscere il portale; può essere da una banale finestra per i commenti, a un'area di amministrazione violata, ecc. Quest'utima ipotesi è un po' meno probabile ma, non sapendo nulla del sito, ipotizzo tutto :P

Una volta che ha individuato il punto debole del sistema, fai un controllo sul codice immesso dall'utente, eliminando tutti i tag html oppure, se in generale i tag devono poter essere inseriti, elimina tutto l'html potenzialmente dannoso (ad esempio i tag <script>, gli iframe,ecc.)
Buona caccia