Bueno me pasa lo siguiente, Eh descubierto una web Vulnerable, bueno es un foro.

Soy nuevo en esto, ya tengo el "Exploit" (con mucho esfuerzo pero lo saque (6).
Pero nunca habia usado esta tecnica .. resulta que tipeo el exploit en el navegador

 y me tira que es vulnerable (hay todo bien) pero tipeo la misma variable usando

y me lanza : bb_lastvisit=1280885146; bb_lastactivity=0; bb_calendar=79b5df1ff66172db9c2307ecc40f2ee6c1d00799a-3-%7Bs-7-.calyear._i-2010_s-8-.calmonth._i-8_s-8-.calview1._s-12-.displaymonth._%7D

Ahora que hago jajaja

Primero piensa que es lo que quieres lograr.
De nada te servirá hacer un código si no tienes un objetivo (de hecho no podrías hacer un código sin un objetivo).

Saludos!

Con el alert('xss')
Ya la explotaste

que quieres hacer en concreto...

para robar las cookies tienes que mandarle un link malicioso, con un enlace a tu web que la guarde... que tal si leemos un poco http://www.google.com/search?q=cross+site+scripting+stealing+cookies