1) Активная XSS на странице подачи объявления.
Слабая фильтрация в заголовке объявления и в тексте объявления.
_http://board.agrobiznes.com.ua/ru/obl-20535.html
2) Еще одна XSS
_http://board.agrobiznes.com.ua/ru/?do=add_ok&obl_id=<script>alert('XSS')</script>
3) С помощью перехвата пакетов можно легко сменить пароль пользователя. Достаточно знать его id.
Алгоритм:
Зайти под своим аккаунтом.
Перехватить пакет при смене своего пароля и изменить id, который открыто передается за компанию с логином и паролем.
Проверял - работает.