вот наткнулся на такое создание... там вообще код инжектингом попахивает... потом попробую, а пока вот иксСС:
sp_index.php?dir=./%3CIMG%20SRC=javascript:alert(document.cookie)%3E

не уверен, конечно, что это свежая бага, но вроде в поиске у врагов античата не нашлось да и на секфокусе тоже вроде нет =)

Молодец.. =)
Давай тогда раскручивай эту тему и делай видео =).

да врядли видео ты сделаешь, т.к. заставить юзера пройтись по ссылке врядли удастся

ну можно друга попросить..) Пусть ты ему в ПМ эту ссылку кинешь на форуме например.. =)
есть 1000 способов)).