Цитата:


pass: ЙцУw355Fg и как это понять. а когда в кукисах через оперу смотрю в pass там видно такие символы примерно 0%%F%006%4 что это значит есть ли возможность обходить это



Это значит что у пользователя стоит пароль "ЙцУw355Fg", а у оперы в куках он в url-encode.
ЙцУw355Fg = %D0%99%D1%86%D0%A3w355Fg
Вывод - нечего там обходить))

Цитата:


а с адреса страницы передается в саму страницу? просто нашел сайт когда в адресе сайта пишешь alert("xss") и смотрю исходный код то там видно alert("xss")



Пассивка. Кагбэ все пассивки такие))
Для того что бы нормально понять разницу между пассивными и активными, нужно обратиться к английским терминам. У них они называются stored (хранимая, по-нашему активная) и reflected (отражаемая, по-нашему пассивная). Из подчёркнутых слов суть разницы между ними должна стать яснее.