Gh Actions - Artifact Poisoning

Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

Avvelenamento degli Artifact

Ci sono diverse Github Actions che consentono di scaricare artifact da altri repository. Questi altri repository avranno solitamente una Github Action per caricare l'artifact che sarà poi scaricato.

Se un attaccante riesce in qualche modo a compromettere la Github Action, sarà in grado di compromettere l'artifact caricato il che potrebbe permettergli di compromettere altri flussi di lavoro che lo utilizzano.

Esempio di download di un artifact da un repository diverso:

Per ulteriori informazioni e opzioni di difesa (come la codifica dell'artifact da scaricare) controlla https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago