Пассивная XSS на zhuki.mail.ru
 

При нормальных навыках в соц. инженерии можно угнать пару неплохих аккаунтов, а потом, например, продать:

POST: _http://zhuki.mail.ru/info/lib/index.php?=&page=2%22%3E%3Cscript%3Ealert(document .cookie);%3C/script%3E


Реализация проста - ищете на форуме код для вставки ссылки на обычный снифер, а потом впариваете ссылку владельцу аккаунта. Например, чувак - это твоего жука так лоханули/так поднялся/заблокировали.

Основные факторы соц. инженерии - человеческие слабости, страх, жадность и т. п.