Если интересны XSS-атаки, советую начать с изучения HTML4. Тем более, что эти знания пригодятся практически для всех клиент-сайд атак. Следующий шаг - javascript.

После изучения HTML4 и JS ты сам сможешь определиться, в каком направлении развиваться дальше, а направлений этих будет предостаточно.

Одно время я изучал основы html и php, так что основы знаю. Если понадобится, буду изучать глубже, но все-таки как внедрить скрипт в код сайта?