Ну один из вариантов таков - тебе надо создать свой сайт, на нем разместить страничку (любую). Затем создать вторую страничку скопировав туда код страницы уязвимого сайта с комментариями, добавив в тэг textarea в коде страницы свой текст для кражи куки и поставив автоисполнение формы при загрузке страницы в тэг body

Цитата:






Жертва зайдет на твою страницу, ничего не заметит, в это время у нее на страницы откроется твоя страница во фрейме, которая искуственно сделает эмуляцию того, что пользователь ввел сам скрипт в уязвимое поле. А куки придут тебе на сниффер.

Have fun!