Инфекция html-script-inf что это

Благодаря закладкам теперь лучше видна полезность поста несмотря на результаты голосования.

Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути.

HTML — это язык гипертекстовой разметки. Чтобы говорить на этом языке, нужно соблюдать его формат, иначе тот, кто читает написанное, не сможет вас понять. Например, в HTML у тегов есть атрибуты:

Тут [name] — это имя атрибута, а [value] — это его значение. В статье я буду использовать квадратные скобки вокруг кода, чтобы было понятно, где он начинается и заканчивается. После имени стои́т знак равенства, а после него — значение, заключенное в кавычки. Значение атрибута начинается сразу после первого символа кавычки и заканчивается сразу перед следующим символом кавычки, где бы он не находился. Это значит, что если вместо [value] вы запишете [OOO "Рога и копыта".] , то значение атрибута name будет [OOO ] , а еще у вашего элемента будет три других атрибута с именами: [рога] , [и] и [копыта"."] , но без значений.

Если это не то, чего вы ожидали, вам нужно как-то изменить значение атрибута, чтобы в нем не встречалась кавычка. Самое простое, что можно придумать — просто вырезать кавычки.

Тогда парсер HTML верно прочтет значение, но беда в том, что это будет другое значение. Вы хотели [OOO "Рога и копыта"] , а получили [OOO Рога и копыта.] . В каких-то случаях такое различие может быть критичным.

Чтобы вы могли указать в качестве значения любую строку, формат языка HTML предлагает возможность экранировать значения атрибутов. Вместо кавычки в строке значения вы можете записать последовательность символов ["] и парсер поймет, что в этом месте в исходной строке, которую вы хотите использовать в качестве значения атрибута, была кавычка. Такие последовательности называются HTML entities.

При этом, если в вашей исходной строке действительно была последовательность символов ["] , у вас все еще есть возможность записать её так, чтобы парсер не превратил её в кавычку — для этого надо заменить знак [&] на последовательность символов [&] , то есть вместо ["] вам нужно будет записать в сыром тексте ["] .

Получается, что преобразование из исходной строки в ту, которую мы запишем между двумя символами кавычек, является однозначным и обратимым. Благодаря этим преобразованиям можно записать и прочитать любую строку в качестве атрибута HTML-тега, не вдаваясь в суть её содержимого. Вы просто соблюдаете формат, и все работает.

Собственно, так работает большинство форматов, с которыми мы сталкиваемся: есть синтаксис, есть способ экранирования контента от этого синтаксиса и способ экранирования символов экранирования, если вдруг такая последовательность встречается в исходной строке. Большинство, но не…

Тег . Парсер HTML внутрь тега не заглядывает, для него это просто какой-то текст, который он потом отдает в парсер Javascript.

В свою очередь, Javascript — это самостоятельный язык с собственным синтаксисом, он, вообще говоря, никаким специальным образом не рассчитан на то, что будет встроен в HTML. В нем, как в любом другом языке, есть строковые литералы, в которых может быть что угодно. И, как вы уже должны были догадаться, может встретиться последовательность символов, означающая закрывающий тег .

Что тут должно происходить: переменной s должна присваиваться безобидная строка.

Получается парадоксальная ситуация: после встраивания валидного Javascript в валидный документ HTML абсолютно валидными средствами мы можем получить невалидный результат.

На мой взгляд это и является уязвимостью разметки HTML, приводящей к уязвимостям в реальных приложениях.

Как эксплуатируется уязвимость

Конечно, когда вы просто пишете какой-то код, трудно представить, что вы напишете в строке и не заметите проблем. Как минимум, подсветка синтаксиса даст вам знать, что тег закрылся раньше времени, как максимум, написанный вами код не запустится и вы будете долго искать, что произошло. Но это не является основной проблемой с этой уязвимостью. Проблема возникает там, где вы вставляете какой-то контент в Javascript, когда генерируете HTML. Вот частый кусок кода приложений на реакте с серверным рендерингом:

В initialState может появиться в любом месте, где данные поступают от пользователя или из других систем. JSON.stringify не будет менять такие строки при сериализации, потому что они полностью соответствуют формату JSON и Javascript, поэтому они просто попадут на страницу и позволят злоумышленнику выполнить произвольный Javascript в браузере пользователя.

Тут в строки с соответствующим экранированием записываются id пользователя и referer , который пришел на сервер. И, если в user.id вряд ли будет что-то кроме цифр, то в referer злоумышленник может запихнуть что угодно.

Что видит здоровый человек и большинство подсветок синтаксиса в этом коде? Два тега , между которыми находится параграф.

Что видит больной парсер HTML5? Он видит один (!) незакрытый (!) тег , содержащий весь текст со второй строчки до последней.

Я до конца не понимаю, почему это так работает, мне понятно лишь, что встретив где-либо символы [ и не считает скрипт законченным, пока не будут закрыты все открытые теги ниже, хе-хе). Если вы до этого не сталкивались с подобным, то можете подумать, что я сейчас шучу. К сожалению, нет. Вот скриншот DOM-дерева примера выше:

Самое неприятное, что в отличие от закрывающего тега , который в Javascript может встретиться только внутри строковых литералов, последовательности символов

А вы точно спецификация?

Спецификация HTML, помимо того, что запрещает использование легальных последовательностей символов внутри тега и не дает никакого способа их экранирования в рамках HTML, также советует следующее:

1. Во встраиваемом скрипте (а это не обязательно Javascript) перечисленные выше последовательности символов могут быть либо внутри строковых литералов, либо их можно легко избежать в синтаксисе языка.
2. Во встраиваемом скрипте в строковых литералах можно экранировать не специальные символы и это не приводит к изменению значений литералов.
3. Тот, кто встраивает скрипт, знает что это за скрипт, глубоко понимает его синтаксис и способен производить изменения в его структуре.

И, если первые два пункта выполняются хотя бы для Javascript, то последний не выполняется даже для него. Не всегда скрипт в HTML вставляет квалифицированный человек, это может быть какой-то генератор HTML. Вот пример того, как с этим не справляется сам браузер:

Как видите, строка с сериализованным элементом не будет распаршена в элемент, аналогичный исходному. Преобразование DOM-дерево → HTML-текст в общем случает не является однозначным и обратимым. Некоторые DOM-деревья просто нельзя представить в виде исходного HTML-текста.

Как избежать проблем?

Как вы уже поняли, способа безопасно вставить Javascript в HTML нет. Но есть способы сделать Javascript безопасным для вставки в HTML (почувствуйте разницу). Правда для этого нужно быть предельно внимательным всё время, пока вы пишете что-то внутри тега , особенно если вы вставляете любые данные с помощью шаблонизатора.

Во-первых, вероятность того, что у вас в исходном тексте (даже после минификации) не в строковых литералах встретятся символы [] крайне мала. Сами вы вряд ли напишете что-то такое, а если злоумышленник что-то сможет написать прямо в теге , то внедрение этих символов будет беспокоить вас в последнюю очередь.

Точно так же можно экранировать и отдельные строки.

Другой совет — не встраивайте в тег ничего вообще. Храните данные в местах, где трансформации для вставки данных однозначны и обратимы. Например, в атрибутах других элементов. Правда смотрится это довольно грязно и работает только со строками, JSON придется парсить отдельно.

Но, по-хорошему, конечно, если вы хотите нормально разрабатывать приложения, а не аккуратно ходить по минному полю, нужен надежный способ встраивания скриптов в HTML. Поэтому правильным решением считаю вообще отказаться от тега , как от не безопасного.

Поэтому я предлагаю ввести новый тег — , содержимое которого будет полностью подчинятся обычным правилам HTML — будут работать HTML entities для экранирования контента — и поэтому встраивание в него любого скрипта будет абсолютно безопасным.

При этом нет необходимости дожидаться реализации этого тега в браузерах. Я написал очень простой полифил safescript, который позволяет использовать его прямо сейчас. Вот всё, что для этого нужно:

Код внутри выглядит ужасно и непривычно. Но это код, который попадет в сам HTML. В шаблонизаторе, который вы используете, можно сделать простой фильтр, который будет вставлять тег и экранировать все его содержимое. Вот так может выглядеть код в шаблонизаторе Django:

Такой подход позволяет забыть об экранировании Javascript и избежать многих уязвимостей. И было бы очень здорово, если бы ребята, разрабатывающие спецификацию HTML, добавили такой скрипт в базовый набор или придумали какой-то другой способ решения проблемы небезопасного встраивания скриптов в HTML.

Придя утром на работу, первым делом хотел зайти на сайт нашей студии, проверить всё ли работает и полюбоваться на новый дизайн :) Но меня ожидал неприятный сюрприз — антивирус Avast заблокировал сайт из-за подозрения на вредоносный скрипт по причине HTML:Script-inf!

Вчера вечером сайт работал в штатном режиме, не было никаких блокировок. Что же случилось за ночь? Администраторская панель работала и не блокировалась. Это говорило о том, что именно в публичной части антивирусу что-то не нравится. Полез искать решение в интернете и нашел, что в 2011 году был баг, из-за которого Avast все сайты считал вредоносными. Но ту ошибку давно исправили, да и на другие сайты Avast у меня не ругался. Ещё полазив по интернету, понял, что информации про HTML:Script-inf довольно мало, а про решение этой ошибки ещё меньше.

HTML:Script-inf:
Если на сайте находится вредоносный скрипт, он распознаётся и регистрируется как HTML:Script-inf. Инфекция может быть результатом взлома сервера. Закодированный код на веб-сайте может быть детектирован, так как кодировка распознаётся как подозрительный файл.

Ввел этот адрес в строку браузера и получил блокировку от антивируса с ошибкой URL:Mal.

На официальном форуме нашёл следующую информацию:

Теперь все встало на свои места. Rawgit.соm — это хранилище файлов GitHub и, видимо, Avast нашёл в этом хранилище вирус и пометил URL-сайта как нежелательный. В итоге, я скачал все файлы плагина code-prettify к себе на сервер и теперь они подключаются как локальные скрипты. Также просканировал сайты текущих проектов студии на подключение файлов с rawgit.соm.

UPD: Оказалось, что не у одного меня возникла такая проблема. В официальном GitHab’е плагина уже стоит вопрос об этой ошибке:

HTML:Script-inf просто заразил ваш компьютер и вы хотите удалить его?

Троянские программы являются одной из крупнейших кибер-угроз, как они оба скрытные и вредные. К сожалению, вы пересекались с классический троянский конь. HTML:Script-inf действительно является одним проблемной программы. Этот вредитель поражает ваша как вирусов ПК в полной тишине. Поэтому вам не обращать внимания на тот простой факт, что вы были заражены. Троянец проводит все это время бесчинствует, так что вы можете увидеть, как сложно это. Есть причина, почему эти инфекции крайне ужасной. Вместе с файл-шифрование программ, троянских коней являются двумя наиболее тревожным видов вредоносных программ. Однако вымогатели не собирается тратить время скрывается на вашем компьютере. HTML:Script-inf, с другой стороны, работает главным образом за вашей спиной. Этот скрытый инфекция может причинить вам серьезный вред, если вы медлите слишком долго. Какое решение для этого? Устранить вирус, как только вы столкнетесь с ее нежелательного присутствия на вашем устройстве. Сразу после установки, HTML:Script-inf идет после настройки ПК. Да, по умолчанию, настройки. Ни вашего разрешения, ни ваше согласие, потому что вредоносные программы не работает таким образом. Он делает изменения, чтобы вместо того, чтобы служить цели хакеров. Троянец изменяет ваш системный реестр. Кроме того, он меняет некоторые системные файлы и изменяет другим. Как результат, Вы заметите, что Вы не сможете использовать некоторые программы. Спасибо Троян за это. Вирус эффективно изменяет настроек компьютера по умолчанию и может привести к потере данных. И это еще не все. Вполне возможно, что паразит будет идти тоже через Ваш браузер. Таким образом, весь ваш опыт просмотра может превратиться в кибер-кошмар. Если вирус устанавливает браузер или плагин, он будет захватить Ваш браузер. Вы можете встретить подавляющее куча подшефных, противный, бесполезных всплывающих окон. Что эдак общее в угрозу, которую они представляют для вашей безопасности. Как уже упоминалось, рекламные объявления, размещаемые компанией паразитирует ПК спонсируются. Другими словами, они ненадежны и потенциально повреждены. Даже если они не кажутся опасными, вы должны знать лучше, чем чтобы нажимать на объявления открыта. Если Вы нажмете на неправильное объявление, вы автоматически ухудшит ваше и без того плохие позиции. Есть много других инфекций, онлайн. Чтобы защитить вашу машину от них, вам придется сдерживать себя от нажатия. Игнорировать эти обманчивые рекламы и устранить вирус как можно скорее. Троянов не должно быть терпимо, так что не забывайте этот надоедливый паразит.

Как я могла заразиться?

Почему это опасно?

Ручное удаление инструкции HTML:Script-inf

Шаг 1: Запустите компьютер в безопасном режиме с поддержкой сети в Windows 8

• Убедитесь, что Вы не имеете любые дискеты, компакт-диски и DVD-диски вставлены в ваш компьютер
• Переместите мышь в правый верхний угол, пока не появится меню windows 8 Шарм появляется
  
• Нажмите на увеличительное стекло

• выберите параметры
• в поле поиска введите дополнительно
• Слева следующий должен появиться

• Нажмите на дополнительные параметры запуска
• Прокрутите немного вниз и нажмите на кнопку перезагрузить сейчас

• Нажми на устранение неполадок

• Затем Дополнительные параметры

• Затем параметры загрузки

• Потом Перезапустить

• Когда вы видите этот экран, нажав клавишу F5 – включить безопасный режим с загрузкой сетевых драйверов

Шаг 2: Запустите компьютер в безопасном режиме с загрузкой сетевых драйверов в Windows 7/ХР/Vista

• Убедитесь, что Вы не имеете любые дискеты, компакт-диски и DVD-диски вставлены в ваш компьютер
• Перезагрузите компьютер
  
• Когда ты видишь стол, начать нажав клавишу F8 ключ каждую секунду, пока вы не войти в Дополнительные варианты загрузки

• в Дополнительные варианты загрузки экране, с помощью клавиш со стрелками выделите безопасный режим с загрузкой сетевых драйверов и нажмите клавишу ввод.

Шаг 3: найдите папку автозагрузки

• После загрузки операционной системы нажмите одновременно Windows логотип кнопку и Р ключ.

• Должно открыться диалоговое окно. Введите “Regedit”

В зависимости от вашей операционной системы (x86 или x64) перейти к:

[Раздел реестра hkey_current_userпрограммное обеспечениеМайкрософтWindowsраздел CurrentVersionвыполнить] или
[Раздел HKEY_LOCAL_MACHINEпрограммное обеспечениеМайкрософтWindowsраздел CurrentVersionвыполнить] или
[Раздел HKEY_LOCAL_MACHINEпрограммное обеспечениеWow6432NodeМайкрософтWindowsраздел CurrentVersionвыполнить]

• и удалить отображаемое имя: backgroundcontainer

где %местных папка appdata% относится к:

Дважды проверьте с любой программой защиты от вредоносных программ на любые объедки. Держите ваше программное обеспечение на сегодняшний день.

Читайте также:

  
• Малярийные комары в свердловской области
  
• Инфекции которые вызывают желтушку у новорожденного
  
• Как выглядят паразиты живущие в организме человека
  
• Бактериофаг стафилококковый отзывы для детей от дисбактериоза
  
• Бактериологическое исследование анаэробных инфекций