http://www.XXXXXX.com/shop/phpcart.php?action=add&id=2201&descr=название товара(XSS)&price=749.99&postage=41&quantity=1
Подставляю как обычно <script>alert('XSS!')</script>
Не получается, глянул в исходники странички и обнаружил, что перед кавычкой автоматически выставляется слэш(/), что не позволяет стырить кукисы (админы продуманные оказались) Возможно ли как-то обойти эту систему?

вместо кавычки попробуй поставить слэш - / .

А вот мне интересно, что ты выжать сможешь с аккаунта админа? Точнее что конкретно для себя извлечешь? Какие у тебя соображения? ;)