Я нашёл на форуме 2 xss язвы, о которых пока умолчу, по некоторым причинам, но сразу скажу, что они по ходу - редкость. Мне повезло. Одна из них работает в ИЕ 6 и в ИЕ 7 сразу.

Куки приходят изеров на сниффер приходят все, кроме этих:
bbuserid=траляля; bbpassword=траляля;

Начал выяснять, почему так, облазил все js-скрипты форума, ничего не нашёл. Проверял через alert, в document.cookie таких куков нету.

Потом через поиск начал находить статьи о том, что форум vBulletin неуязвим для XSS-атак. Оказалось так и есть.

Уже давно существует метод защитить определённые кукизы от их чтения в html-документе, т.е. если объявить:
document.cookie = "Cookie=Value";
То такой куких можно прочесть без проблем, но если его объявить так:
document.cookie = "Cookie=Value; httpOnly";
То кукиз, после которого стоит httpOnly прочесть через html-документ станет невозможно, такие кукизы передаются только через http-заголовки.

Кстати, в рунете я обсуждений этой темы не нашёл почему-то, зато куча ссылок на сайты стран СНГ, чьи языки я не знаю ))

И вот как эту преграду одолеть??