ea disculpa que te conteste hasta ahora, ya sabes esto de las fiestas, los reyes de los chamacos y eso..

De lo de CSRF -->http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery

Lo que quieres es "Si tengo un dominio www.ejemplo.com vulnerable a XSS y en usuarios.ejemplo.com se logean los usuarios. Como puedo hacer para conseguir la cookie de usuarios.ejemplo.com desde www.ejemplo.com"---> la respuesta es haciendo bypass a same origin policy y claro estamos hablando de un persistente ¿no?

"Si tengo un XSS en www.ejemplo.com , desde www.paginaweb.com puedo ejecutar acciones, a traves de peticiones GET o POST a www.ejemplo.com, aunque la XSS no este en ese mismo dominio, ¿no?.. Corrigeme si me equivoco." Lo mejor sería que el XSRF lo tuvieras en www.ejemplo.com junto con el XSS persistente, podrías hacer requests al subdominio que quieres usuarios.ejemplo.com, preparar tu script para añadir un iframe nulo y de ahí enviarte las galletas tu mismo (aunque este tipo de control sobre el browser, como te mencioné, haría trivial lo de las cookies y por cierto existen algunas tools que lo automatizan), busca el texto al que hice referencia --->"Buy one XSS, get a CSRF for free".

En cuanto a readViewPort(), es una función ficticia aunque posible, con ella se podría escanear la intranet desde el browser controlado. Como te dije, si llegas a tener un control del navegador a ese nivel mediante una 'simple' vulnerabilidad XSS, lo de robarse las cookies de sesión termina siendo algo trivial.

Un saludo.