В принципе и с активкой, и с пассивкой можно сделать все, что позволяет javascript, вплодь до полной замены и перерисовки страницы, можно с помощью нее разместить фейковую форму со своим обработчиком прямо на странице целевого сайта. Конечно, она не будет изначально хранится коде на сервере, а будет генерироваться динамически скриптом, который ты активируешь через активку/пассивку, роли это не меняет. Главное правильно использовать под свои нужды XSS и все будет в твоих руках. Кража куков лишь 1% от возможностей XSS.