Z wikipedii:
W styczniu 2008 luka non-persistent XSS w internetowym serwisie włoskiego banku Banca Fideuram umożliwiała podmianę fragmentu strony logowania[7]. Umożliwiło to atakującym przygotowanie trudnego do wykrycia phishingu, w którego następstwie użytkownicy mogli nieświadomie przekazać swoje dane autoryzacyjne osobom postronnym.
Rozumiem jak można to wstrzyknąć u "siebie", ale niby w jaki sposób to zrobili, że się pokazywało każdemu użytkownikowi? Chodzi o to, że udało im się to dodać do bazy danych w tabeli z której są potem wyświetlane dane przy logowaniu?