Gh Actions - Artifact Poisoning

Apprenez et pratiquez le piratage AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le piratage GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenez HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de piratage en soumettant des PRs aux dépôts github HackTricks et HackTricks Cloud.

Artifact Poisoning

Il existe plusieurs Github Actions qui permettent de télécharger des artefacts depuis d'autres dépôts. Ces autres dépôts auront généralement une Github Action pour téléverser l'artefact qui sera ensuite téléchargé.

Si un attaquant peut d'une manière ou d'une autre compromettre la Github Action, il pourra compromettre l'artefact téléversé ce qui pourrait lui permettre de compromettre d'autres workflows qui l'utilisent.

Exemple de téléchargement d'artefact depuis un dépôt différent :

Pour plus d'informations et des options de défense (comme le codage en dur de l'artefact à télécharger), consultez https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Apprenez et pratiquez le piratage AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le piratage GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenez HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de piratage en soumettant des PRs aux dépôts github HackTricks et HackTricks Cloud.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago