По видимому ты не понял в данном случае XSS реализуется не через GET, а через POST запрос. Тут нашел инфы http://www.enigmagroup.org/articles/view/Web Hacking/118-XSS-and-post-method Т.е. мы заливаем html exploit код которого указан выше меняем линки и даем link на html exploit ?