эх.... со сотороны сервеа запускаются такие скрипты как .php и .pl ну и .cgi + еще некоторые СЕРВЕРНЫЕ языки... если ты хочеш провести XSS то только с формы... и это будет происходить не на сервере а у клиента в браузере!!!
Если только значения формы не передаются ф-ии system() и ей подобной... тогда можно попробовать чтото типа: ;id;

При работе с формами классическими являются уязвимости классов SQL-injection и XSS. Подделка HTTP запросов в таких случаях нужна, если помимо введенных тобой в форму данных отправляются еще какие-то hidden поля, либо введенные тобой данные фильтруются JavaScript'ом (ну или vbscript'ом) перед отправкой.
Хотя я встречал и php-инъекцию в hidden поле

Например если есть такой (а они есть)) скрипт который сохраняет реф когда оставляешь камменты ( и ее может видеть только Админ) то можно подделать ее через хттп запросы а примером тому является Coppermine Fotogallery (помоему немного старая версия)
потом можно с куками замутить=)
еще можно ПОСТ запрос замутить на бажные скрипты-получится выполнение комманд(обычно .cgi .pl скрипты)

__________________

Elite VPN from Green. Quality. Click and buy!!!

Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze

А есть ещё telnet

ой мля, улыбнуло не по-деццки ))))
на бажность скрипта никак не влияет пост запрос или гет,просто в скриптах бывают проверки на гет или пост запрос...

а помоему ты и я сказали одно и тоже.. нет?
я знаю что не влияет я знаю что в скрипте проиходит из за недостатоыной обработки входных данных... может я как то нелепо сказално чтоб ему было понятно

__________________

Elite VPN from Green. Quality. Click and buy!!!

Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze