gitbucket1.8版本 关于readme.md的XSS漏洞

       最近在利用gitbucket用作项目开发中的代码托管工具。简单介绍一下gitbucket：gitbucket是一个仿github界面的代码托管工具。使用scala语言开发，利用jgit开源工具管理和操作git命令，内置了一个轻量级的内存数据库h2数据库（轻量到就一个jar包）。这个项目更新的比较快，目前最近的版本已经到1.11。

       在使用1.8版本时，遇到一个XSS漏洞：创建一个项目（不需要太正式），创建README.md文件。README.md文件中添加xss攻击语句："><script>alert(1)</script><"并上传项目。当用户访问上传的项目时，浏览器将会解析javascript命令：alert(1)。

       为了避免被XSS攻击，我们需要在gitbucket把README.md文件的内容传递给用户的浏览器前，将README.md的内容转成html的内容，比如将“"”转成“&quot;”等。

       读取README.md的程序文件文件是app/RepositoryViewerController.fileList。fileList方法中有获取README.md文件内容的方法：

StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)

 添加上转义方法：

 

 

StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)
              .replace("&", "&amp;").replace(">", "&gt;").replace("<", "&lt;").replace("\"", "&quot;")

 再次访问之前的项目，README.md显示"><script>alert(1)</script><"，而不会执行这段javascript。

 

珍爱安全，远离XSS