Ouai enfin le fait de trouver une faille, et le fait de l'exploiter c'est qand même pas mal différent.
On ne risque totalement rien à faire une alert via XSS sur un site quelconque, par contre, si on l'utilise pour accéder à l'espace admin, c'est une autre histoire