XSS Yandex
 

Доброго времени суток.
Собственно первый раз в жизни решил занятся xss развлечениями.

ПРочитал статью xss для начинающих, остаось несколько вопросв которые хотелось задать сообществу.

Вобщем как я понимаю на яндексе искать активны хсс дело не благодарное, поэтому стоит использовать пассивные.
Собственно первый вопрос, правильно ли я понимаю значение смысла слова пассивные - я создаю скрипт перехвата кук
предварителньо запихнув его в какой либо фаил(упс.js)
Затем я делаю линк на этот скрипт, ну и как либо еш шифрую и пердаю жертве. Например почтой.
Теперь вопрос если жертва перейдет по линку я получу куки яндекса жертвы, или я неправильно понимаю смысл слова пассивные?
И еще вопрос, я так понимаю что в коде скрипта надо указать с сылку на снифер т.е. в место надо написать Правильно ли я себе представляю работу пассивной xss уязвимости?
Нужно ли указывать гиф при добавлении кода в ifarame?
Хранятся ли пароли Яндекс почты в куках пусть даже в зашефрованном виде и можно ли их вскрыть? в смысле разгадать.
Можно ли добавить какую либо картинку в тело письма что бы получить подобный эффект, при условии что человек снимет ограничение на загрузку картинок?
И последний вопрос до сих пор осталось возможность отправлять письма с "подставных" доменов, т.е. например с того же вконтакта?

1. Это активная.
2. На Яндексе паблик xss нету.

3. Активные XSS - http://forum.antichat.ru/thread35802.html Правила читай на вверху же в топе закреплена тема с Хсс.
PS: Ничего сверх естественного ты не нашел - к сожалению ты вообще ничего не нашел.

Может я некорректно выразился, но я и не говорил что что либо нашел, я попробую перефразировать.
Я первы раз сталкиваюсь с хсс атакой.
Нашел тучи описаний об активных атаках, собственно вопрос, как выглядят пассивные атаки. т.е.
я так понимаю что если дать линк в письме на xss на другой сайт то кук яндекса мне невидать, правильно я понимаю?

Пассивная XSS, это такая же XSS, как и активная, просто тебе нужно заставить юзера перейти по твоей ссылке с JS кодом и он точно так же выполниться