Ola , tenho lido muito sobre estas tecnicas de quebra de autenticacao , exato , mais nao entendi exatamente o ponto disto , me ajudem para ver se estou correto ->
a tecnica se baseia na insercao de codigos maliciosos de java Script VISANDO APENAS o CLIENTE , nao o servidor , no caso , o usuario que estaria se conectando , ENTAUM , a tecnica se baseia em conjunto a uma engenharia social para fazer com que um USUARIO CLIQUE NO SITE ESPERADO mas com o codigo malicioso jah imposto e ROBE OS COOKIES OS JOGANDO EM UM DROP SITE para o atacante poder vizualisar , para depois poder "invadir" a conta ?

EH ISSO MESMO ? alem desta tecnica , que que eh possivel fazer com XSS podendo comprometer a seguranca de um site