GCP - Artifact Registry Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kwa maelezo zaidi kuhusu Artifact Registry angalia:
Nini kinatokea ikiwa hifadhi za mbali na za kawaida zimeshikwa katika moja ya virtual na pakiti ipo katika zote mbili?
Ile yenye kipaumbele cha juu zaidi kilichowekwa katika hifadhi ya virtual inatumika
Ikiwa kipaumbele ni sawa:
Ikiwa toleo ni sawa, jina la sera kwa alfabeti ya kwanza katika hifadhi ya virtual inatumika
Ikiwa sivyo, toleo la juu zaidi linatumika
Hivyo, inawezekana kudhulumu toleo la juu zaidi (dependency confusion) katika hifadhi ya pakiti ya umma ikiwa hifadhi ya mbali ina kipaumbele cha juu au sawa
Teknolojia hii inaweza kuwa na manufaa kwa kuendelea na ufikiaji usio na uthibitisho kwani ili kuidhinisha inahitaji tu kujua jina la maktaba iliyohifadhiwa katika Artifact Registry na kuunda maktaba hiyo hiyo katika hifadhi ya umma (PyPi kwa python kwa mfano) yenye toleo la juu zaidi.
Kwa kuendelea hizi ndizo hatua unahitaji kufuata:
Mahitaji: Hifadhi ya virtual lazima iwepo na itumike, pakiti ya ndani yenye jina ambalo halipo katika hifadhi ya umma lazima itumike.
Unda hifadhi ya mbali ikiwa haipo
Ongeza hifadhi ya mbali kwenye hifadhi ya virtual
Hariri sera za hifadhi ya virtual ili kutoa kipaumbele cha juu (au sawa) kwa hifadhi ya mbali. Fanya kitu kama:
Pakua pakiti halali, ongeza msimbo wako mbaya na uisajili katika hifadhi ya umma kwa toleo sawa. Kila wakati mendelezi anapoisakinisha, atasakinisha yako!
Kwa maelezo zaidi kuhusu dependency confusion angalia:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)