Gh Actions - Artifact Poisoning

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Envenenamento de Artefatos

Existem várias Github Actions que permitem baixar artefatos de outros repositórios. Esses outros repositórios geralmente terão uma Github Action para fazer upload do artefato que será posteriormente baixado.

Se um atacante conseguir de alguma forma comprometer a Github Action, ele será capaz de comprometer o artefato enviado o que poderia permitir a ele comprometer outros fluxos de trabalho que o utilizam.

Exemplo de download de artefato de um repositório diferente:

Para mais informações e opções de defesa (como codificar o artefato a ser baixado) verifique https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

AnteriorAbusing Github Actions SiguienteGH Actions - Cache Poisoning

Última actualización hace 1 mes