без уязвимости xss, ты куки не сможешь сохранить на своём сервере. Только реферер (из относящихся к сайту), который ты и атк знаешь.

Если есть xss, то гугли на кейворд php сниффер