Нетак давно а точнее 1 апреля мною была найден XSS в поисковой системе nigma.ru. Находился он в разделе Разыграй друга! :-). Розыгрыш бал что надо.
Скрипт вобще никак не филтровал данные. Там можно было ввести лубое имя кого ты хочеш разыграт.
И это показывалось на первой позиции, что ты в водиш то и отображалось, а если ты вводиш в Аннотации <script>document.location.href='http://site.ru';</script>
То тогда если ктото вводил имя которое ты задал и нажимал найти его кидало на site.ru сайт
:)

Ну ладно, поверим
держи плюсик

Да была правда админы быстро залотали баг.
А вот чем они заменяли все скрипты

"Ребята, мы не против порекламировать ваш сайт, но че вы нам рушите работу темплейтов? src='http://esteam.net.ru/script1.js'></SCRIPT>"

Хачьте лучше АФК Систему -- будет очень весело! ;-) src='http://esteam.net.ru/script1.js'"