Gh Actions - Artifact Poisoning

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

Zatrucie artefaktami

Istnieje kilka działań w Github Actions, które pozwalają pobrać artefakty z innych repozytoriów. Te inne repozytoria zazwyczaj będą miały działanie w Github do wysyłania artefaktu, który później będzie pobrany.

Jeśli atakujący w jakiś sposób może skompromitować działanie w Github, będzie mógł skompromitować wysłany artefakt, co może pozwolić mu skompromitować inne przepływy pracy, które go używają.

Przykład pobrania artefaktu z innego repozytorium:

Aby uzyskać więcej informacji i opcji obrony (takich jak wprowadzenie sztywnego adresu artefaktu do pobrania), sprawdź https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago