D4rKpr3d4toR :
Tu as effectivement trouvé une faille, la première je suppose et ça, ça se fête WOOT Champagne !
Tu as dégoté une faille de type "XSS" dans la prévisualisation.
Par contre, d'après ce que tu dis elle est comblée dans la fonction "poster".
Voici quelques explications sur cette faille (tu peux trouver des millions de documents dessus) :
- http://fr.wikipedia.org/wiki/Cross-site_scripting
- http://www.newbiecontest.org/forums/index.php?topic=981.0
Pour le code avec document.cookie il s'agit d'une exploitation malicieuse des failles XSS.
Là encore, lis de la doc et tu comprendras.
Néanmoins, sans connaitre la faille t'as eu un bon raisonnement.
C'est ça l'esprit 'newbie'.
ps : Dans la catégorie "Hacking", il y a quelques épreuves où il faudra exploiter une XSS. Bonne chance !