Нетак давно а точнее 1 апреля мною была найден XSS в поисковой системе nigma.ru. Находился он в разделе Разыграй друга! :-). Розыгрыш бал что надо.
Скрипт вобще никак не филтровал данные. Там можно было ввести лубое имя кого ты хочеш разыграт.
И это показывалось на первой позиции, что ты в водиш то и отображалось, а если ты вводиш в Аннотации <script>document.location.href='http://site.ru';</script>
То тогда если ктото вводил имя которое ты задал и нажимал найти его кидало на site.ru сайт