Siempre he considerado el XSS reflejado como un ataque que tendría lugar a través de una URL. Entonces, por ejemplo, tendría una URL como la siguiente:
http://someSite.com?message=welcome!<script>alert(1);</script>
y el mensaje se escribiría en la página. Para ejecutar el ataque necesitarías engañar a alguien para que haga clic en ese enlace.
Hace poco estuve buscando en un sitio web con BurpSuite, marcó una vulnerabilidad reflejada en el script de sitios cruzados y el vector de ataque fue un valor de cookie. Si bien podría cambiar el valor de la cookie para que muestre javascript en la página, no entiendo cómo podría usarse para atacar a otro usuario.
En mi primer ejemplo, un usuario tendría que hacer clic en un enlace para ejecutar el ataque. ¿Cómo ejecutarías un ataque con la segunda vulnerabilidad?