Я сам новичок в этом но с xss разобрался.

В этой статье все написано. Проще зделай как я : зарегся на online xss snifer тут , там есть уже готовый скрипт который ты должен подставлять после "=" в уязвимом сайте , и всю эту длиную ссылку (мне кажется лучше ее закодировать) даешь пользователю или админу чтобы он по ней прошел и тебе там в лог придут куки. Удачи.