лет 7 назад захожу на мэйл.ру вижу рекламный банер в фрейме, навёл мышку вижу swf, и адрес какой то странный

вида

mail.ru/....?a=mail.ru/....baner.swf

то есть ссылка на банер передаётся в параметре, я попробовал подставить swf со стороннего ресурса, нашел какую то игру, работает, далее подгрузил swf со своего ресурса, ну и в нём яваскрипт который cookies крал,

на тот момент я только мануалов парочку по html прочитал, по javascript не дочитал, и одну статью по xss, знал что это такое только в теории, ни одной до этого не находил, да и особо не пробовал, а маил ру был на тот момент одним из самых популярных сайтов в россии,

xss правда там на каждом шагу были, но впечатляет то что это был первый сайт на котором я нашел xss при этом про xss я практически ничего не знал, отсюда можно сделать вывод об масштабах дырявости