Как нападение XSS действительно работает?

Так, предотвращение веб-сайта от нападения XSS очень просто, просто необходимо использовать htmlspecialchars функционируйте и Вы хороши.
Но если разработчик забыл использовать его, что может сделать взломщик/хакер? Он может получить Ваш session_id, правильно? И вот вопрос. Что он может сделать с этим?
Большое спасибо.