hasło nie ale wyciągając sesje zyskasz dostęp do konta na 15min(standartowa wartość nie wiem na ile jest na fejsie)
możesz posłużyć się linkiem przekierowującym ofiare na twoją stronę phishingową. Cos takiego zostało już kiedyś opublikowane na tej stronie. Jak nie znajdziesz to poszukaj na uw-team.org w dziale blędy php rozdział 10 albo 11 nie pamiętam dokładnie