Сегодня увидел на форуме тему _spamer_, то кто-то ему вапривал какие-то ссылки, посмотрел исходник тех страниц - увидел там в iframe какую-то ссылку на вконтатке. XSS, подумал я. так оно и оказалось. XSS была зашифрована, расшифроваа, я ее разобрал и сейчас представляю Вам.
Сама XSS наодится в скрипте нового поиска - gsearch и выглядит вот так (выводит куки алертом):
здесь в String.fromCharCode зашифровано следующее:
, шифровал я с помощью http://ha.ckers.org/xss.html (внизу строка Decimal Value, заменив &# на запятую (и убрав первую).
Вместо вывода куков вы можете подставить туда свой снифер, зашифроать, а затем впаривать в iframe данную страницу. удачи в использовании, засекаем время, пока не прикроют

На стаью не претендую, просто для новичков расписал все немного подробнее.