Много чего ))) Хотя бы вызвать алерт, или стырить куки или сессию )))

А по поводу скриптов? Только ЯваСкрипт? Или не только?

Нет... не только ))) Ещё и теги разных форумов в этом могут принять участие )))

То есть возможно использования ПХП?

Ну типа да, но это что-то другое ))) Не знаю как правильно сформулировать фразу... лан пох... может кто-нибудь другой что-нибудь объяснит в этой теме )))

Нет. Не только=)) Ещё и VbScript тоже можно. Просто он, наверное, не так популярен и поэтому все используют JavaScript.

XSS это выполнение вредоносного клиентского скрипта на машине пользователя, в контексте уязвимого сайта.
Это означает, что скрипт может выполнить любые действия, которые может выполнить данный юзер на данном сайте. Например, если юзер является модератором некого форума и имеет право на удаление топиков, то XSS атака на данного пользователя позволяет удалять топики.
Кроме выполнения действий от лица юзера, XSS позволяет также получить конфиденциальную информацию с данного сайта и доступную данному пользователю. Например пароль или личную почту или состояние счета и т.п.
Чего XSS НЕ может делать: XSS это атака на клиента а не на сервер, поэтому XSS не позволяет выполнять серверные скрипты (PHP, Perl, ASP и т.п.), не позволяет редактировать файлы сервера по FTP и т.п. (За исключением тех случаев, когда управление сайтом доступно через веб-интерфейс).

Спасибо огромное за исчерпывающий ответ!

Хмм... ответ получен - ТЕМА ЗАКРЫТА!