1.- En ese caso, te habrás percatado que el ID se pasa por el URL en esta forma: pagina.php?PHPSESSID=unidlargo

2.- No tengo un enlace a la mano pero en Google seguramente encontrás mucha información. Los ataques XSS es inyectar código Javascript en tu pagina HTML, por ejemplo si pasas por GET:
Cuando abres pagina.php, si te sale el alert, es que eres vulnerable y es que en lugar de poner el alert pueden poner un redirect a un sitio externo pasandole por parámetro las cookies de sesión, algo así:
La pagina ataca puede leer la cookie, extraer el ID de sesión y hacer una petición a tu server con el ID correcto y tu pagina quedaría comprometida.

Saludos.