Sí, es serio el asunto.

He visto sitios Web de empresas importantes (no necesariamente en el ámbito Web, pero en fin, importantes) con validaciones de formularios sin ninguna validación del lado del servidor.

Hace poco hubo un caso de un usuario (en el foro de PHP) de un usuario que usó un pre-fabricado (no sé de dónde) para comentarios en un foro, que simplemente guardaba en un campo hidden el ID del usuario (que es fácilmente modificable con las herramientas que hemos venido comentando para escribir comentarios con el ID de otro usuario). Igual sucede con algunos sistemas de captcha que dejan indicios en el código HTML que pueden ser usados para saltarse la validación.

P.S.: Sólo quería recalcar nuevamente la cuestión simplemente técnica de nomenclatura:
Los ataques que se pueden hacer con GreaseMonkey/Firebug NO son del tipo XSS; que es peligroso lo que se puede hacer, lo es, pero no es XSS .