Estoy de acuerdo
Al final hubo xss o no?
/* EDITO */
Vale, ya se que no hubo.

Puedes crear tu propio hosting y practicar sobre él, si estás en windows puedes descargar e instalar xampp que te instala apache(servidor web)+php+mysql y así tendrás el control absoluto sobre el hosting.
Si estás puede variar según la distro, pero en google hay un montón de tutos.
Suerte

LOL

Felicidadees

Aclarado.

Yo no me lo imagino, alguien lo va a decir?

Podría ser sin base de datos de esta forma:

<?
if ($_GET['pagina']==1)
{
include('pagina.html');
}
elseif ($_GET['pagina']==2)
{
include('lalala.ototo');
} 
...
?>
 

Muchas gracias, si alguién sabe alguna forma de atacar ese método que me lo diga a mi antes que a un usuario maligno.

Pongo unos códigos mejor.
cualquiercodigo.php :

<?
session_start();
echo '<a href=cerrarsesion.php?s='.session_id().'>Cerrar sesion</a>';
?>

cerrarsesion.php

<?
session_start();
if ($_GET['s']==session_id())
{
session_destroy();
}
?>
 

Sería eso vulnerable a CSRF?
Gracias

Pregunto que si una buena medida de seguridad contra CSRF sería pasar por método GET el session_id() y comprobarlo en la página que realice la acción que sea.