¿Cómo enviar CSS que se pueda cargar de forma remota con un correo electrónico como se explica en el documento técnico de ROPEMAKER?

0

He estado leyendo ROPEMAKER explota el libro blanco de Mimecast. En el artículo, mencionan el envío de un HTML seguro (que puede contener texto malvado, pero siempre que se trate de un HTML simple, será seguro para el destinatario y haga el exploit mediante la visualización selectiva). los campos necesarios en el HTML utilizando CSS cargable remotamente.

Realmente no entiendo la idea de CSS remotamente cargable para correos electrónicos. ¿Cómo puede un atacante / usuario enviar CSS junto con el cuerpo del correo electrónico y cargarlo de forma remota en el extremo del destinatario?

¿Es esto realmente posible? Si es así, ¿cómo?

    
pregunta Anonymous Platypus 24.08.2017 - 11:48
fuente

1 respuesta

1

Hay dos formas de incluir recursos dentro de una parte HTML del correo electrónico: como enlaces a sitios externos (es decir, <img src=http://example.com/... o <link rel=stylesheet href=http://example.com/... ) o haciendo referencia a diferentes partes MIME dentro del mismo correo (es decir, <link rel=stylesheet href="cid:some-id-in-the-mail"> ). El "exploit" solo usa la primera forma, es decir, cargar el CSS desde un servidor controlado por el atacante donde puede servir diferentes CSS en diferentes momentos, lo que provoca cambios en la representación del HTML.

    
respondido por el Steffen Ullrich 24.08.2017 - 12:14
fuente

Lea otras preguntas en las etiquetas