Забыл сообщить: админ может конкретным пользователям настроить профиль, чтобы в поле статус html не воспринимался. Но тогда он не сможет покрасить цветом статус (админы любят красить свой статус красным). Т.е. если кто-то может менять свой статус, но не может внедрить html - просите админа покрасить статус цветом. Админ если согласится - будет вынужден врубить html. Тогда и XSS получите. Админ НЕ может сделать так, чтобы только он мог вам html прописывать: либо вы оба с админом можете, либо не можете. По крайней мере такой настройки в форумах исследованных без всяких хаков я не встречал...
Гость Можно вставлять любые теги html: не обязательно <body onLoad. Классическая XSS. Любой пример с этого самого античата проканает.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."