XSS - ¿Podemos robar cookies de otro sitio web en otra pestaña?

Depende de qué tan bien el navegador haya implementado la separación de pestañas y la política de origen entre sitios. En los navegadores modernos, no, no podrás hacer eso. Sería posible escribir un navegador no estándar que le permita acceder a cookies de terceros, pero en ese punto, el atacante puede hacer cosas mucho más interesantes, por lo que no tiene sentido robar cookies.

En los navegadores antiguos (navegadores muy antiguos: estoy hablando de la era pre-IE4, si no incluso antes), es posible que varios trucos hagan que el navegador envíe las cookies incorrectas, pero estos son errores relativamente fáciles de encontrar pruebas automatizadas, por lo que deberían haberse arreglado hace mucho tiempo.

Lo responsable en este caso es informar al proveedor de comercio electrónico sobre el problema de XSS, brindándole todos los detalles que necesitan para recrearlo, para que puedan solucionarlo. Incluso pueden darte una recompensa, dependiendo de su política. Sin embargo, generalmente es ilegal buscar problemas sin el permiso del propietario del sitio; si tienen un programa de recompensas por errores, generalmente lo mencionarán en alguna parte, junto con las restricciones sobre los tipos de investigación que permiten.

No, de lo contrario, cualquier persona podría crear un sitio web con una vulnerabilidad XSS, hacer que la víctima lo visite y luego podría robar todas las cookies de sesión del usuario.

Además, XSS no tiene nada que ver con las pestañas.

En google chrome cada pestaña es un proceso separado , que aísla el acceso de otras pestañas. , por lo que las cookies tradicionales no son accesibles a un script JS.

En cuanto a las aplicaciones y hablando solo de google chrome, creo que esto es posible pero no lo he probado. Yo mismo, pero en este caso cuando instala la aplicación, está dando permisos para leer cookies.