лет 7 назад захожу на мэйл.ру вижу рекламный банер в фрейме, навёл мышку вижу swf, и адрес какой то странный

вида

mail.ru/....?a=mail.ru/....baner.swf

то есть ссылка на банер передаётся в параметре, я попробовал подставить swf со стороннего ресурса, нашел какую то игру, работает, далее подгрузил swf со своего ресурса, ну и в нём яваскрипт который cookies крал,

на тот момент я только мануалов парочку по html прочитал, по javascript не дочитал, и одну статью по xss, знал что это такое только в теории, ни одной до этого не находил, да и особо не пробовал, а маил ру был на тот момент одним из самых популярных сайтов в россии,

xss правда там на каждом шагу были, но впечатляет то что это был первый сайт на котором я нашел xss при этом про xss я практически ничего не знал, отсюда можно сделать вывод об масштабах дырявости

а ещё было дело... читал где то, вставляют xss в refer и ходят по интернету, по различным сайтам, браузер сообщает сайтам рефер строку с xss,

потом владелец сайта смотрит откуда народ приходит к нему, а там опа xss и доступ к админке увели

ещё такой прикол знаю, читал статью, там автор видит что малварь кто то распространяет, смотрит что за прога, видит паблик бот, находит xss в его админке,

далее загружает в себе на виртуалку exe который распространяли, у себя на компьютере меняет какой то параметр который отображается в админке, вроде имя компьютера или название ос, или что то вроде того, внедряет туда xss, получает доступ к админке и забирает ботнет себе

Такой не читал https://bo0om.ru/xss-every-day