最近在利用gitbucket用作项目开发中的代码托管工具。简单介绍一下gitbucket:gitbucket是一个仿github界面的代码托管工具。使用scala语言开发,利用jgit开源工具管理和操作git命令,内置了一个轻量级的内存数据库h2数据库(轻量到就一个jar包)。这个项目更新的比较快,目前最近的版本已经到1.11。
在使用1.8版本时,遇到一个XSS漏洞:创建一个项目(不需要太正式),创建README.md文件。README.md文件中添加xss攻击语句:"><script>alert(1)</script><"并上传项目。当用户访问上传的项目时,浏览器将会解析javascript命令:alert(1)。
为了避免被XSS攻击,我们需要在gitbucket把README.md文件的内容传递给用户的浏览器前,将README.md的内容转成html的内容,比如将“"”转成“"”等。
读取README.md的程序文件文件是app/RepositoryViewerController.fileList。fileList方法中有获取README.md文件内容的方法:
StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)
添加上转义方法:
StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get) .replace("&", "&").replace(">", ">").replace("<", "<").replace("\"", """)
再次访问之前的项目,README.md显示"><script>alert(1)</script><",而不会执行这段javascript。
珍爱安全,远离XSS