Доброго дня!
Есть некий сайт
я там нашол пасивную xss ("><img src=aaa onerror=alert(document.cookie);>)
могу ли я заманив админа на мою страничку в которой будет iframe с сылкой на xss его сайта,
угнать как то его cookie ?

Может и да, но админ должен быть автор. на том сайте, чтобы ты что-то смог угнать, да + механизмы работы такого движка надо бы знать!!!! Имея куки не всегда можно поиметь админа.

Админ автор на том сайте я знаю, меня интересует механизм передачи cookie
на другой хост через iframe в iframe загружаеться страничка с xss.

Ну, что же ты студент, игрушку новую нашёл,
Ни думал, не годал, а кукисы мои увёл...

я не чего не уводил :)

меня интересует механизм передачи cookie
на другой хост через iframe в iframe загружаеться страничка с xss.

Student :), автор. - это не автор (книги), а сокращенно Авторизирован))

вопрос открыт

Можно. :-)
Я сомневался по поводу доступа публикации фреймов на другие сайты, но вспомнил, что это ограничение только на дотуп к контенту неродного фрейма, а также при ajax-доступе чужого сайта, он пишет низя, нитвайо..

неужели нельзя ?