O XSS ( CROSS SITE SCRIPTING ) é um tipo de ataque que é altamente popular nos dias de hoje e literalmente, pega a maioria dos usuários por estar escondido em páginas que eles acham que não podem lhes causar problemas.
O conceito é bem básico. Em geral, algum usuário de um site qualquer, coloca um comentário ou post em um fórum que não contém nenhum tipo de validação ou filtro ( muito incomum isto hoje em dia, mas o que mais tem por aí, é web developer acostumado com desenvolvimento sem segurança ).
Assim, o código malicioso fica ali disponível e quando o usuário clicar em algum link ou simplesmente, carregar a página, ele será executado e causará algum problema ao usuário.
Um exemplo clássico deste tipo de ação, é algo que está acontecendo hoje no Orkut. Não sei se a equipe do Google já resolveu este problema, mas a alguns dias atrás estava sendo possível fazer o usuário ser deslogado automaticamente do seu Perfil.
O truque está em adicionar um código no Scrapbook da pessoa, como este aqui :
Ou seja, um código básico que vai encher a paciência do indivíduo sempre que ele logar no Orkut fechando a seção do mesmo.
Este XSS na realidade é um simples exemplo do que pode ser feito. Na realidade desde a captura da seção do usuário até por exemplo, envio de algum dado importante podem ser feitos com este tipo de técnica.
Vale, sem dúvida, tomar cuidado com os conteúdos que são postados em fóruns e coisas do tipo, principalmente, aqueles que não tem grande controle vindo dos seus webmasters, tal qual o Orkut :-)