Есть ли способ как нибуть менее палевно использовать Xss в аватаре?
Т.к. если просто в урл аватары вставить Xss, то аватаркой будет являтся сломаная картинка, можно ли как нибудь картинку всё же вернуть, или замаскировать сломаную?

А зачем?Суй палёную аватару в фэйковый ник.

можно ли как нибудь картинку всё же вернуть, или замаскировать
Нельзя. Можно добавить
<script>location.replace('http://ya.ru');</script>
чтобы после захода чела перекинуло на другой урл, например на страницу ошибки 404.
Но опять же не сработает это на нормальных браузерах, только на ИЕ.

Хмм.. а поставить картинке какой нибудь z-index отрицательный, или потом в эту же картинку записать другой сорс?

Жалко, если нельзя.

Гаврила: Т.е. в коде картинки прописать скрипт попробовать, и её залить?

Ну почти да.Тока не обязательно брать картинку для этого.Можно сразу сохранить в нужном формате.Скрипт пишешь в блокноте и всё. Почитай тут http://forum.antichat.ru/thread9910.html.
censored! классно всё расписал про применение аватары.

От себя добавлю что может стоять проверка типа файла(как в новых phpbb и IPB).
Надо тогда маленько поработать WinHexом.

В моём случае речь идёт об IPB 2.1.5 . Не совсем понимаю, как именно обработать WinHex'ом?

Qwazar gif, к примеру имеет пометки в своем коде о том, что это гиф...
Первые байты - 47 49 46 38 37 - подчеркивание Гифа. возможно где-то еще по коду есть инфа
с 6 по 9 пары: 4A 46 49 46 - подчеркивание JPG. возможно тоже где-то есть...

Соотв нужнл код подставить так, чтобы на этих местах было написано JFIF у JPG или GIF87 у gifa

Правильно мелишь. Только там этих строк мало. Короче надо первые10-20 строчек из кода картинки выдрать,а потом сразу за ней впихнуть ява скрипт.
Если не разбирёшся-скину готовую картинку со скриптом.

Например для PNG
89504E470D0A1A0A0000000D494844520000005F0000005F08 00000000AB2744290000031069434350