CodeBuild

Vir meer inligting kyk na hierdie bladsy:

buildspec.yml

As jy skryftoegang oor 'n argief wat 'n lêer met die naam buildspec.yml bevat, kompromitteer, kan jy hierdie lêer agterdeur maak, wat die opdragte spesifiseer wat binne 'n CodeBuild projek uitgevoer gaan word en die geheime uitlek, kompromitteer wat gedoen word en ook die CodeBuild IAM rolgeloofsbriewe kompromitteer.

Let daarop dat selfs al is daar nie enige buildspec.yml lêer nie, maar jy weet Codebuild word gebruik (of 'n ander CI/CD) om 'n bietjie legitieme kode te wysig wat uitgevoer gaan word, kan jou byvoorbeeld 'n omgekeerde dop gee.

Vir enige verwante inligting kan jy die bladsy oor hoe om Github Aksies aan te val (soortgelyk aan hierdie) nagaan:

Self-gehoste GitHub Aksies runners in AWS CodeBuild

Soos aangedui in die dokumente, is dit moontlik om CodeBuild te konfigureer om self-gehoste Github aksies uit te voer wanneer 'n werkstroom in 'n Github argief geaktiveer word. Dit kan opgespoor word deur die CodeBuild projekkonfigurasie te ondersoek omdat die Gebeurtenistipe die volgende moet bevat: WERKSTROOM_WERKGEWAG en in 'n Github Werkvloei omdat dit 'n self-gehoste runner soos hierdie sal kies:

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Hierdie nuwe verhouding tussen Github Aksies en AWS skep 'n ander manier om AWS van Github af te compromiseer, aangesien die kode in Github in 'n CodeBuild-projek sal hardloop met 'n IAM-rol daaraan geheg.