попробуй через xss подменить какую-нибудь ссылку, а при нажатии на эту ссылку запустить скрипт который удалит куки и через document.write нарисует страницу авторизации, в которой будет спрятана отсылка логина и пароля на php скрипт, который их схавает и потом отправит жертву обратно по ссылке. Мне такой вариант нравится больше всего, в обход всяких куков)