最近在利用 gitbucket 用作项目开发中的代码托管工具。简单介绍一下gitbucket:gitbucket是一个仿github界面的代码托管工具。使用 scala 语言开发,利用 jgit 开源工具管理和操作git命令,内置了一个轻量级的内存数据库 h2 数据库(轻量到就一个jar包)。这个项目更新的比较快,目前最近的版本已经到1.11。
在使用1.8版本时,遇到一个XSS 漏洞 :创建一个项目(不需要太正式),创建README.md文件。README.md文件中添加xss攻击语句:" ><script>alert(1)</script>< "并上传项目。当用户访问上传的项目时, 浏览器 将会解析 javascript 命令:alert(1)。
为了避免被XSS攻击,我们需要在gitbucket把README.md文件的内容传递给用户的浏览器前,将README.md的内容转成 html 的内容,比如将["]转成[ " ]等。
读取README.md的程序文件文件是app/RepositoryViewerController.fileList。fileList方法中有获取README.md文件内容的方法:
StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)添加上转义方法:
StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get) .replace(">", ">").replace("<", "<").replace("\"", """) .replace("/", "⁄").replace("'", "´")再次访问之前的项目,README.md显示 " ><script>alert(1)</script>< ", 而不会执行这段javascript。
珍爱安全,远离XSS
查看更多关于gitbucket1.8版本 关于readme.md的XSS漏洞 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15676