He encontrado un server en el que puedo inyectar JScript, ActiveX, VBScript a través del header... La cuestión es: ¿ahora qué?

Ya hice la típica prueba del alert(123) y funciona. Mi intención es poder leer algunos ficheros del servidor y/o descargarlos.

El cross-scripting no tiene sentido porque "nadie más interactuará con el servidor".

¿Ideas? 

XSS en headers no sirven para nada mas que para hacerle fama al que lo descubrio (y ni sirve de fama, porque igual nadie le hace caso jeje ).
Siento descepcionarte.. pero es improbable que puedas explotarlo con exito..
talves (y tall ves.. en un caso de cada 100,000) puedas hacerlo bug de SSInclude, o RCE.. depende del script.. pero la verdad lo dudo mucho

Saludos!!