¿Cómo funciona realmente el ataque XSS?

Entonces, evitar que el sitio web ataque XSS es muy simple, solo necesita usarhtmlspecialchars Funcionas y eres bueno.
Pero si el desarrollador olvidó usarlo, ¿qué puede hacer el atacante / hacker? Él puede obtener su session_id, ¿verdad? Y aquí hay una pregunta. ¿Qué puede hacer él con eso?
Muchas gracias.