Вот активненькая и к сожалению палевненькая XSS в профиле пользователя. Уязвим параметр \"realname\"
.

Загнав туда XSS-сплойт, вы ни где не сможете
увидеть результат его работы, зато Админ это увидит сразу! Дело в том, что он не пашет НА
САМОМ ВИДНОМ МЕСТЕ!



Вот так подстава... Хотя как только Админ полезет:

изменять ваш профиль,
удалять вас,
слать вам мэйл,
менять пароль,
менять права

он попадётся на оставленную нами \"козявку\" =). Палево неимоверное, но всё-таки может кому и пригодится.