Pentesting CI/CD Methodology

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε με στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

VCS

Το VCS σημαίνει Σύστημα Έλεγχου Έκδοσης, αυτά τα συστήματα επιτρέπουν στους προγραμματιστές να διαχειρίζονται τον πηγαίο κώδικά τους. Το πιο κοινό είναι το git και συνήθως θα βρείτε εταιρείες που το χρησιμοποιούν σε μία από τις ακόλουθες πλατφόρμες:

Github
Gitlab
Bitbucket
Gitea
Παρόχοι cloud (προσφέρουν τις δικές τους πλατφόρμες VCS)

Pipelines

Οι pipelines επιτρέπουν στους προγραμματιστές να αυτοματοποιήσουν την εκτέλεση του κώδικα (για σκοπούς κατασκευής, δοκιμής, αναπτύξεως...), μετά από συγκεκριμένες ενέργειες: Ένα push, ένα PR, cron... Είναι πολύ χρήσιμες για να αυτοματοποιήσουν όλα τα βήματα από την ανάπτυξη έως την παραγωγή.

Ωστόσο, αυτά τα συστήματα πρέπει να εκτελούνται κάπου και συνήθως με προνομιούχα διαπιστευτήρια για την ανάπτυξη του κώδικα.

Μεθοδολογία Πεντεστινγκ VCS

Ακόμα κι αν ορισμένες πλατφόρμες VCS επιτρέπουν τη δημιουργία pipelines για αυτήν την ενότητα θα αναλύσουμε μόνο δυνητικές επιθέσεις στον έλεγχο του πηγαίου κώδικα.

Οι πλατφόρμες που περιέχουν τον πηγαίο κώδικα του έργου σας περιέχουν ευαίσθητες πληροφορίες και οι άνθρωποι πρέπει να είναι πολύ προσεκτικοί με τις άδειες που χορηγούνται μέσα σε αυτήν την πλατφόρμα. Αυτά είναι μερικά κοινά προβλήματα σε πλατφόρμες VCS που μπορεί να καταχραστεί ένας επιτιθέμενος:

Διαρροές: Αν ο κώδικάς σας περιέχει διαρροές στις δεσμεύσεις και ο επιτιθέμενος μπορεί να έχει πρόσβαση στο αποθετήριο (επειδή είναι δημόσιο ή επειδή έχει πρόσβαση), μπορεί να ανακαλύψει τις διαρροές.
Πρόσβαση: Αν ένας επιτιθέμενος μπορεί να **έχει πρόσβαση σε έναν λογαρια

Περισσότερες σχετικές πληροφορίες

Εργαλεία & CIS Benchmark

Το Chain-bench είναι ένα εργαλείο ανοικτού κώδικα για τον έλεγχο της ασφάλειας της αλυσίδας εφοδιασμού λογισμικού σας βάσει του νέου CIS Software Supply Chain benchmark. Ο έλεγχος επικεντρώνεται στη διαδικασία ολόκληρου του SDLC, όπου μπορεί να αποκαλύψει κινδύνους από την ώρα του κώδικα έως την ώρα της αναπτυξης.

Κορυφαίοι 10 CI/CD Κίνδυνοι Ασφάλειας

Δείτε αυτό το ενδιαφέρον άρθρο για τους κορυφαίους 10 κινδύνους CI/CD σύμφωνα με το Cider: https://www.cidersecurity.io/top-10-cicd-security-risks/

Εργαστήρια

Σε κάθε πλατφόρμα που μπορείτε να εκτελέσετε τοπικά, θα βρείτε πώς να την ξεκινήσετε τοπικά, ώστε να τη διαμορφώσετε όπως θέλετε για να τη δοκιμάσετε.
Εργαστήριο Gitea + Jenkins: https://github.com/cider-security-research/cicd-goat

Αυτόματα Εργαλεία

Το Checkov είναι ένα εργαλείο ανάλυσης στατικού κώδικα για το infrastructure-as-code.

Αναφορές

https://www.cidersecurity.io/blog/research/ppe-poisoned-pipeline-execution/?utm_source=github&utm_medium=github_page&utm_campaign=ci%2fcd%20goat_060422

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF, ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Συμμετάσχετε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε με στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα κόλπα σας για το hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PreviousHackTricks Cloud NextGithub Security

Last updated 3 months ago