Вот активненькая и к сожалению палевненькая XSS в профиле пользователя. Уязвим параметр \"realname\" . Загнав туда XSS-сплойт, вы ни где не сможете увидеть результат его работы, зато Админ это увидит сразу! Дело в том, что он не пашет НА САМОМ ВИДНОМ МЕСТЕ! Вот так подстава... Хотя как только Админ полезет: изменять ваш профиль, удалять вас, слать вам мэйл, менять пароль, менять права он попадётся на оставленную нами \"козявку\" =). Палево неимоверное, но всё-таки может кому и пригодится.
