Last updated
Vir meer inligting, kyk:
AWS - Codebuild EnumOm CodeBuild te konfigureer, sal dit toegang tot die kode-repo benodig wat dit gaan gebruik. Verskeie platforms kan hierdie kode aanbied:
Die CodeBuild projek moet toegang hê tot die gekonfigureerde bronverskaffer, of via 'n IAM rol of met 'n github/bitbucket token of OAuth-toegang.
'n Aanvaller met verhoogde regte oor 'n CodeBuild kan hierdie gekonfigureerde toegang misbruik om die kode van die gekonfigureerde repo en ander waar die ingestelde geloofsbriewe toegang het, te lek. Om dit te doen, sal 'n aanvaller net die repo URL na elke repo waar die konfigurasie-geloofsbriewe toegang het, verander (let daarop dat die aws-webwerf almal vir jou sal lys):
En verander die Buildspec-opdragte om elke repo uit te sif.
Hierdie taak is egter herhalend en vervelig en as 'n github-token met skryfregte gekonfigureer was, sal 'n aanvaller nie in staat wees om daardie regte te (mis)bruik nie omdat hy nie toegang tot die token het nie. Of het hy? Kyk na die volgende afdeling
Jy kan toegang wat in CodeBuild gegee is, lek na platforms soos Github. Kyk of enige toegang tot eksterne platforms gegee is met:
codebuild:DeleteProject'n Aanvaller kan 'n hele CodeBuild-projek uitvee, wat lei tot verlies van projekkonfigurasie en wat toepassings wat op die projek staatmaak, beïnvloed.
Potensiële Impak: Verlies van projekkonfigurasie en diensontwrigting vir toepassings wat die verwyderde projek gebruik.
codebuild:TagResource, codebuild:UntagResource'n Aanvaller kan etikette byvoeg, wysig of verwyder van CodeBuild-bronne, wat jou organisasie se koste-toewysing, hulpbronopsporing en toegangsbeheerbeleid gebaseer op etikette kan ontwrig.
Potensiële Impak: Versteuring van koste-toewysing, hulpbron-opsporing, en tag-gebaseerde toegangsbeheerbeleide.
codebuild:DeleteSourceCredentials'n Aanvaller kan bron-geloofsbriewe vir 'n Git-opslag verwyder, wat die normale werking van programme wat op die opslag staatmaak, kan beïnvloed.
Potensiële Impak: Versteuring van normale werking vir toepassings wat staatmaak op die geaffekteerde bewaarplek as gevolg van die verwydering van bron-gedragsleutels.
