o administracnom rozhrani viem uz davno, klasicky pripad ked server pri nejakej chybe vypisuje error hlasky ako http odpoved a uzivatel sa dozvie aj to co nema. preto je vzdy dobre v ramci bezpecnosti si chyby spracovavat na strane serveru(ako to mame napr. u nas na poradni) a uzivatelovi posielat len vhodne informacie. co sa tyka samotneho XSS utoku, tak je to podobny princip(vsetky su na jedno kopyto ), ako som popisoval vo svojej hadanke cislo 5. mne sa takymto sposobom podarilo ukradnut cookie uzivatelom hackthissite.org a nasledne som nato upozornil adminov HTS, ale tam to maju riesene dobre. samotne cookie ti ukradnut nepomoze, pretoze sa cookie hash sklada z hesla + salt z IP, cize pokial niekto nejde cez nejake verejne proxy, je ti to naprd. sice blahozelam autorovi hacku, ale tento hack nepovazujem za nicim vynimocny. ako ma vyzerat skutocny hack a genialny white hacker si mozte precitat tu: http://sk.zone-h.org/content/view/461/9/.
btw., ja s losom vieme aj o inom sposobe XSS hacku, ktory sa da na zive pouzit.