From Html Inj to Steal login & pass, can leads to XSS

1) Найти сайт уязвимый к html inj.
2) Внедрить код.
3) Дождаться пока жертва введет свой логин и пароль.
4) Зайти под кредами юзера.
5) Докрутить до stored XSS и украcть cookie:




JavaScript:


HTML:

Статьи супер.
Проблема современного ИБ, на всех конференциях обсуждаются Threat Intelligence, SOC, контейнеры, HoneyPot и прочие новомодные фишки.
Но при этом в большинстве предприятий слабая парольная политика : стандартные смена пароля раз в 3-6 месяцев, рекомендация паролей со спецсимволами , когда пароль обычного пользователя превращается в счетчик. сегодня qwerty2020, через 3 месяца qwerty2021, дальше 2022qwerty. Хранится на бумажке под клавиатурой, и т.д.

А каким образом внедрение своего html во время регистрации позволило ему сделать рассылку с картинкой от имени церкви?