Обо всем > Про уязвимость (не смешно) //викепедия>Межсайтовый скриптинг 

    (04.03.10 09:03)  

Отсутствие фильтрации HTML-тегов в сообщениях пользователей
Некоторые форумы позволяют пользователю использовать HTML-теги для форматирования текста. Если отсутствует должный уровень фильтрации, злонамеренный пользователь может вставить такие теги <script>, который будет отправлять хакеру HTTP-Cookie пользователей, открывших некоторую тему форума или незаметно открывать произвольную ссылку в контексте браузера пользователя.

Подробнее:

Злоумышленник, пользуясь имеющимися на сайте средствами наподобие отправить комментарий посылает комментарий, содержащий тег <script>.
Написанный злоумышленником скрипт имеет доступ к пользовательским HTTP-Cookie. Скрипт ворует их, отправляя их на другой сайт