Gh Actions - Artifact Poisoning

Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

Poisonnement d'Artifact

Il existe plusieurs Github Actions qui permettent de télécharger des artifacts d'autres dépôts. Ces autres dépôts auront généralement une Github Action pour télécharger l'artifact qui sera ensuite téléchargé.

Si un attaquant peut compromettre d'une manière ou d'une autre la Github Action, il pourra compromettre l'artifact téléchargé ce qui pourrait lui permettre de compromettre d'autres workflows qui l'utilisent.

Exemple de téléchargement d'un artifact d'un dépôt différent :

Pour plus d'infos et d'options de défense (comme le hardcoding de l'artifact à télécharger), consultez https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago