Gh Actions - Artifact Poisoning

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

Забруднення артефактів

Існує кілька Github Actions, які дозволяють завантажувати артефакти з інших репозиторіїв. Ці інші репозиторії зазвичай мають Github Action для завантаження артефакту, який потім буде завантажено.

Якщо зловмисник якимось чином може скомпрометувати Github Action, він зможе скомпрометувати завантажений артефакт, що може дозволити йому скомпрометувати інші робочі процеси, які його використовують.

Приклад завантаження артефакту з іншого репозиторію:

Для отримання додаткової інформації та варіантів захисту (таких як закріплення артефакту для завантаження) перегляньте https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago