es verdad, porque esto SI funciona:

http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script>alert()</script>

y mi duda sobre las cookies es asi:

Si las cookies robadas pertenecen a la pagina mediante la cual se esta llevando el ataque, o sea... en este caso solo se pueden robar cookies de la pagina foroswebgratis? o si la persona esta, por ejemplo, tambien logueada en otro foro al mismo tiempo... esas cookies tambien pueden ser robadas? o es necesario una vulnerabilidad similar en la otra pagina?

----------------- Minutos despues ----------------------

segui paso a paso las instrucciones y al usar el codigo en la pagina se crea un archivo log.txt que contiene valores de PHPSESSID, me aprecen 3 y son el mismo valor asi que supongo que son solo de la misma pagina (foroswebgratis)

Pero PHPSESSID no son cookies, no son un valor para definir una sesion? se puede emplear para suplantar la sesion de un usuario?