Gh Actions - Artifact Poisoning

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

Poisonamento de Artefatos

Existem várias Github Actions que permitem baixar artefatos de outros repositórios. Esses outros repositórios geralmente terão uma Github Action para carregar o artefato que será posteriormente baixado.

Se um atacante conseguir de alguma forma comprometer a Github Action, ele poderá comprometer o artefato carregado, o que poderia permitir que ele comprometesse outros fluxos de trabalho que o utilizam.

Exemplo de artefato baixado de um repositório diferente:

Para mais informações e opções de defesa (como codificar o artefato a ser baixado), confira https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago