xss -> вполне возможно, но это не выгодно (опишу ниже почему не выгодно)(+ куки мрут время от времени, + не каждый будет залогиненом на N'ом сайте (к примеру на яндексе))
накрутки счётчиков/автокликанья (через iframe) -> в нормальной партнерке - это все секут, т.е. тоже не выгодно

Выгодно - сливать на связку сплойтов, ну а потом грузить с помощью связки сплойтов какой нибуть троян типа пинча (для воровства паролей), или же софт-кликалку для какой либо PPC партнерки (при хорошой реализации софта/трояна - такое партнерки не будут сечь)