через XSS можно сделать многое, вплоть до автоматической заливки шелла:

/threads/50646/#post-584229

отлови http пакет во время добавления юзера в блек и инжектируй туда свой evil код