Закинул на доску обьявлений сообщение с JavaScript'ом. Думал выловлю сессию админа, так как тот частенько проверяет доску через админку.
Но тут такая проблема.

Админ заходид в админку не через форму php, а через авторизацию Апача (окно вылетает в браузере), соответсвенно никакая сессия не создаеться.

Такой вопрос: что можно узнать на стороне клиент с админ-панельки? Обидно упускать такую возможность получить информацию.

xss тут не катит, т.к. все это дело передаётся хедерами. Можно попытатся сделай фейк такой админки, помню даже где-то статья Hidden'а была )
А вот и она
Применение Basic Authorization против форумов (https://forum.antichat.ru/threadnav20911-1-10.html)

Fake не пройдет, админ довольно не глупый. Кто му, он JS запуститься только если админ перейдет на страницу управления доской.

запуститься только если админ перейдет на страницу управления доской.
Я так понимаю чтобы туда зайти, он и должен ввести логин\пасс. А если ты сделаешь, как написанно в статье, то у него ещё раз окошко вылетет, причем в адресной строке будет адрес админки.

fucker"ok, опа... это уже интересно... :)
+1 тебе и автору ;)

Но все же, может еще будут какие-то советы? Ведь адресок у верху окна-то будет указывать на другой сервер. Ато на этот сервер все доемены уже прорегены и имя короткое, шоб какую-то букву пропустить.

Вот например можно получить все содержимое страницы?