近来，Avanan发现了一种能够绕过EOP (Exchange Online Protection) URL过滤器的新式垂钓进犯。EOP能够扫描Word (.docx)、Excel (.xlsx)和PowerPoint (.pptx)等工作文档，经过对邮件内容、header、言语、附件和一切超链接进行检测，尽量不会让垃圾邮件进入到你的邮箱中。
用于进犯的电子邮件携带了一个.docx附件，附件中包括了一个歹意链接，点击该链接后会跳转到一个获取用户凭据的登录页面。因为链接解析器是依托联系(xml. accounts)文件获取附件中包括的链接列表，而不会扫描整个文档，因而无法辨认歹意URL。
联系文件就像书本的索引相同，会列出文档各部分的基本内容，包括外部链接、图画，或是字体表之类的内部文档组件。有时，一些要害的条目或许没有写在索引中，但实践内容仍是在“书本”傍边的。就像在此类进犯中，进犯者删去了联系文件中的外部链接，然后绕过了只读取索引而非内容的链接解析器。
布景
Office Open XML文件是一切Office应用程序的默许格局。Office文档（.docx，.xlsx，.pptx）由许多XML文件组成，这些文件包括构成文档的一切字体、图画、格局和方针信息。
你能够经过如下 *** 检查一个Office文档的XML文件：先将.docx文件转换为ZIP格局，解压该文件后在计算机的文档查找器中检查（参照下图）。

图1.解压的.docx文件在macOS中的出现
如上所示，联系目录(word/_rels/document.xml.rels)是一个XML文件，它将.docx文件内的联系(字体表、文档设置、注释、脚注、款式界说、编号界说)与包外的资源(如链接和图画)进行映射。当文档包括Web链接时，链接将被添加到document.xml.rels联系文件中。

图2.联系文件中，一些内部资源(字体、主题和web设置等)和外部资源(安全或歹意的链接)暗示

图3.图2中联系文件中的链接示例在Word文档中的对应出现
假如因为某种原因，其间一个链接遭到损坏，当用户在原始文档中点击该链接时，仍是能够拜访的。为了向后兼容，Word会对链接作解析。
NoRelationship进犯是怎么运作的
当扫描附件中的歹意内容时，大多数电子邮件过滤器会扫描文档中的外部web链接，并将其与歹意站点的数据库进行比较，乃至能够依照链接评价其方针。
但是，许多解析器会选用较为方便的 *** ，只检查document.xmls，它一般包括文档中一切url的列表。
假如文档里有未包括在xmls.rels文件中的URL链接，则解析器则将无视其存在，因而黑客能经过从联系文件中删去URL的 *** 绕过解析器。
NoRelationship进犯能绕过哪些链接解析器?
Avanan对当时一些盛行的安全东西进行了测验，以确认哪些人群或许会遭到这次进犯的影响。

定论
经过从document.xml.rels联系文件中删去歹意链接，黑客混杂了仅扫描联系文件以获取外部链接的链接解析器。 看来电子邮件扫描没有捷径可走，仅有的解决方案是扫描整个文件。