Come inviare CSS CSS caricabili a distanza con un'e-mail, come spiegato nel white paper di ROPEMAKER?

0

Ho letto il ROPEMAKER per sfruttare il whitepaper di Mimecast. Nell'articolo si menziona l'invio di un HTML sicuro (che può contenere testo malvagio, ma purché sia un semplice HTML sicuro rispetto ai meccanismi di protezione dei destinatari) al destinatario e faccia l'exploit visualizzando selettivamente i campi necessari nel codice HTML utilizzando CSS caricabili in remoto.

Non ho davvero l'idea di CSS a caricamento remoto per le email. In che modo un utente malintenzionato / utente può inviare CSS insieme al corpo dell'email e caricarlo da remoto al destinatario?

Questo è effettivamente possibile? Se sì, come?

    
posta Anonymous Platypus 24.08.2017 - 11:48
fonte

1 risposta

1

Ci sono due modi per includere le risorse all'interno di una parte HTML email: come collegamenti a siti esterni (ad esempio <img src=http://example.com/... o <link rel=stylesheet href=http://example.com/... ) o facendo riferimento a parti MIME diverse all'interno della stessa posta (cioè <link rel=stylesheet href="cid:some-id-in-the-mail"> ). L '"exploit" usa solo il primo modo, cioè il caricamento del CSS da un server controllato dall'hacker in cui può servire diversi CSS in tempi diversi, causando così cambiamenti nel rendering dell'HTML.

    
risposta data 24.08.2017 - 12:14
fonte

Leggi altre domande sui tag