Провел интересную атаку, спешу поделиться и обсудить.
Есть клиент (К) в изолированной среде, из которой видно ТОЛЬКО веб-приложение (П).
(П) подвержено XSS, задача получить авторизацию.
(П) видно из внешней сети, доступной злоумышленнику (З).
Как передать данные COOKIE, скажем PHPSESSID от (П) к (З).
Если не через само приложение, что бывает трудно, скажем отраженная XSS только и все.

Решение такое: (З) ставит пользователю известный ему идентификатор сессии через XSS
document.cookie = “PHPSESSID=blablabla;expires=anything-about-9999″;
и разлогинивает (К) автоматом от (П).

Дальше (З) ждет пока (К) залогиниться снова и проверяем авторизацию с известным идентификатором сессии.

Ествественно, зависит успех зависит от (П), которое должно не перетирать куки, но в моей случае, все получилось, и думаю, так будет почти всегда ;)