Last updated
Za više informacija o Artifact Registry-u pogledajte:
Šta se dešava ako se mešaju udaljeni i standardni repozitorijumi u virtuelnom i postoji paket u oba?
Koristi se onaj sa najvišim prioritetom postavljenim u virtuelnom repozitorijumu
Ako je prioritet isti:
Ako je verzija ista, koristi se ime politike abecedno prvo u virtuelnom repozitorijumu
Ako nije, koristi se najviša verzija
Stoga je moguće zloupotrebiti najvišu verziju (dependency confusion) u javnom registru paketa ako udaljeni repozitorijum ima veći ili isti prioritet
Ova tehnika može biti korisna za perzistenciju i neautentifikovan pristup, jer za njeno zloupotrebljavanje je potrebno samo znati ime biblioteke smeštene u Artifact Registry i kreirati istu biblioteku u javnom repozitorijumu (npr. PyPi za Python) sa višom verzijom.
Za perzistenciju trebate pratiti ove korake:
Uslovi: Morate imati virtuelni repozitorijum koji postoji i koristi se, morate koristiti interni paket sa imenom koje ne postoji u javnom repozitorijumu.
Kreirajte udaljeni repozitorijum ako ne postoji
Dodajte udaljeni repozitorijum u virtuelni repozitorijum
Izmenite politike virtuelnog registra da biste dali veći prioritet (ili isti) udaljenom repozitorijumu. Pokrenite nešto poput:
Preuzmite legitimni paket, dodajte zlonamerni kod i registrujte ga u javnom repozitorijumu sa istom verzijom. Svaki put kada programer instalira taj paket, on će instalirati vaš!
Za više informacija o dependency confusion-u pogledajte:
