Сайт с хак-софтом, там и мой трой лежит))
samouchka.net - когда коммент добавляешь впиши.
<img src=http://samouchka.net/engine/data/emoticons/sad.gif onload=XSS]

www.jjurnal.ru

Довольно популярный жж.
Постим сообщение от анонимного пользователя.
Уязвимо поле "Имя:"
"><script>alert()</script>

Работает в опере и ие.

email.ru

может и было..ибо XSS самая тупая))
..
отправляем письмо ..естестн в html....

или

serials.softkiller.net
В теме любого кряка пишем камент с хсс

proplay.ru

Идём в раздел "Команды":
--http://www.proplay.ru/team/
Там создаём новую команду.
Уязвимыми являются поля:
-Игры
-IRC канал
-Домашняя страница

Test:
--http://www.proplay.ru/team/744/

sysadmin.mail.ru

Заходи на sysadmin.mail.ru.....
Сморим *Сервисы Сисадмина* там лезим в *Моя регистрационная анкета*
в поле Крупный город: Выбираем любой город))
далее в поле Свой город/район: строчим и жмём Сохранить изменения...
после переходим в Whois ..находим наш город...если в списке ников есть наш ник.....значит куки уже на снифе))ибо ненадо даже давать ссылку на свой профиль...просто на город где ваш логин))

www.qiq.ru
После регистрации, в профиле изменяем уязвимые поля, а именно:
1)Место жительства
2)О себе
А этих местах пишем
Пример

ДОМ 3 ХЭК =))))))

dom3mir.ru

Регистрируемся с любыми данными......
Далее идем изменять свою анкету...
В уязвимые поля: Район, Метро,Город пишем такой код..ну там уж как придумаете
Далее идете в поиск...ищите себя понику и вот xss =)

http://www.ohizba.ru/index.php?type=page&id=13
уязвимы все поля в гостевой книге
фуфло, но баг..
//updat3:
уязвимость в поле "name" в комментах
извините, редактирование не пашет.. если я что-то нарушил, соедините плз посты

запахало)