Gh Actions - Artifact Poisoning

Naucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Naucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wspieraj HackTricks

Sprawdź plany subskrypcji!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Artifact Poisoning

Istnieje kilka Github Actions, które pozwalają na pobieranie artefaktów z innych repozytoriów. Te inne repozytoria zazwyczaj mają Github Action do przesyłania artefaktu, który później zostanie pobrany.

Jeśli atakujący w jakiś sposób skompromituje Github Action, będzie mógł skompromitować przesłany artefakt, co może pozwolić mu na skompromitowanie innych workflow, które go używają.

Przykład pobierania artefaktu z innego repozytorium:

Więcej informacji i opcje obrony (takie jak hardcoding artefaktu do pobrania) znajdziesz na https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Naucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Naucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wspieraj HackTricks

Sprawdź plany subskrypcji!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago