gitbucket1.8版本关于readme.md的XSS漏洞-电脑资料

gitbucket1.8版本关于readme.md的XSS漏洞-电脑资料
最近在利用 gitbucket 用作项目开发中的代码托管工具，。

简单介绍一下gitbucket：gitbucket是一个仿github界面的代码托管工具。

使用 scala 语言开发，利用 jgit 开源工具管理和操作git命令，内置了一个轻量级的内存数据库 h2 数据库（轻量到就一个jar包）。

这个项目更新的比较快，目前最近的版本已经到1.11。

在使用1.8版本时，遇到一个XSS漏洞：创建一个项目（不需要太正式），创建README.md文件。

README.md文件中添加xss攻击语句：" >< "并上传项目。

当用户访问上传的项目时，浏览器将会解析 javascript 命令：alert(1)。

为了避免被XSS攻击，我们需要在gitbucket把README.md文件的内容传递给用户的浏览器前，将README.md的内容转成html 的内容，比如将“"”转成“ " ”等。

读取README.md的程序文件文件是app/RepositoryViewerController.fileList，
电脑资料
《gitbucket1.8版本关于readme.md的XSS漏洞》(https://www.)。

fileList方法中有获取README.md文件内容的方法：StringUtil.convertFromByteArray(JGitUtil.getContent(Git.ope n(getRepositoryDir(repository.owner, )), file.id, true).get)
添加上转义方法：
StringUtil.convertFromByteArray(JGitUtil.getContent(Git.ope n(getRepositoryDir(repository.owner, )), file.id, true).get) .replace(">", ">").replace("<", "<").replace("\\"", """) .replace("/", "⁄").replace("'", "´")
再次访问之前的项目，README.md显示 " >< "，而不会执行这段javascript。

珍爱安全，远离XSS。