Здравствуйте

На сайте имеется XSS уязвимость (пасивная), алерт проходит в адресной строке.

Но на этом я и остановился. Как её использовать?

Сформировать ссылку, послать её админу (которого контакт ещё нужно найти), вытянуть куки с админки (локация админки известна)? Но не факт что в контактных данных будет админ с активной сессией админки.

Подскажите, куда двигаться дальше.

Спасибо