Например, та дырка, что вы нашли - называется XSS. Злоумышленник получает в этом случае полный доступ к JS - изменение оформления, содержания страницы, спереть куки и идентификатор сессии, считать bitcoin силами ваших пользователей без их на то согласия, сделать редирект на свой ресурс (по желанию с вирусной атакой) и просто всё, что умеет JS, от имени вашего сайта.
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..
|