Jak działa xss?

Z wikipedii:

W styczniu 2008 luka non-persistent XSS w internetowym serwisie włoskiego banku Banca Fideuram umożliwiała podmianę fragmentu strony logowania[7]. Umożliwiło to atakującym przygotowanie trudnego do wykrycia phishingu, w którego następstwie użytkownicy mogli nieświadomie przekazać swoje dane autoryzacyjne osobom postronnym.

Rozumiem jak można to wstrzyknąć u "siebie", ale niby w jaki sposób to zrobili, że się pokazywało każdemu użytkownikowi? Chodzi o to, że udało im się to dodać do bazy danych w tabeli z której są potem wyświetlane dane przy logowaniu?

Jeżeli strona nie jest odpowiednio zabezpieczona to można wstrzyknąć kod JS który będzie wykonywany przy odpaleniu, np. czasami można dodać wpis do księgi gości czy pola komentarzy który będzie zawierał javascript - wszyscy będą widzieć ten kod włączając stronę. Taki JS może wysyłać dane pod inny adres.

Z opisu wynika że to akurat było non-persistent, więc moze jakiś reflected XSS.
Przykład: https://github.com/p4-team/ctf/tree/master/2016-12-27-33c3/web_250_yoso więc np. przez jakieś parametry GET możesz sterować czymś co strona sobie "załaduje".
Wysyłasz potem użytkownikowi link, on na niego klika i bum.

O paniee .. XSS to temat rzeka. Udanej lektury: https://sekurak.pl/tag/xss/