关于cicd-goat cicd-goat是一个故意包含大量漏洞的CI/CD安全学习靶场环境,广大研究人员可以使用cicd-goat来学习关于CI/CD安全的相关内容,并通过各种挑战并拿到Flag来更好地掌握针对CI/CD管道的安全渗透技术。cicd-goat项目允许允许工程师和安全从业人员通过一组包含是十个项目的挑战来学习和实践CI/CD安全,这些挑战是在真实、全面的CI/CD环境中实施的。这些场景具有不同的难度级别,每个场景侧重于一个主要攻击向量。这些挑战包括10大CI/CD安全风险,包括流量控制机制不足、PPE(管道执行投毒)、依赖链滥用、PBAC(基于管道的访问控制)等。该项目的环境基于Docker容器实现,并且可以在本地运行,这些容器包括:
工具下载&运行
Linux&macOScurl -o cicd-goat/docker-compose.yaml --create-dirs https://raw./cider-security-research/cicd-goat/main/docker-compose.yaml
cd cicd-goat && docker-compose up -d
Windows(PowerShell)mkdir cicd-goat; cd cicd-goatcurl -o docker-compose.yaml https://raw./cider-security-research/cicd-goat/main/docker-compose.yamlget-content docker-compose.yaml | %{$_ -replace 'bridge','nat'}docker-compose up -d
(向右滑动,查看更多)
工具使用 首先,在开启容器之后,可能需要等待五分钟左右的时间来让容器完成配置。接下来,登录http://localhost:8000来查看所有的挑战:
开始渗透Jenkins:http://localhost:8080 Gitea http://localhost:3000 GitLab http://localhost:4000 最后,将你拿到的Flag提交进去,查看是否成功即可。
自定义开发 git clone https://github.com/cider-security-research/cicd-goat.git
pip3 install pipenv==2022.8.30
pipenv install --deploy
rm -rf tmp tmp-ctfd/
cp -R ctfd/data/ tmp-ctfd/
docker-compose -f docker-compose-dev.yaml up -d
docker-compose -f docker-compose-dev.yaml down
./apply.sh # save CTFd changes
docker-compose -f docker-compose-dev.yaml up -d --build
许可证协议 本项目的开发与发布遵循Apache-2.0开源许可证协议。
项目地址 cicd-goat:https://github.com/cider-security-research/cicd-goat
参考资料:https://www./utm_source=github&utm_medium=github_page&utm_campaign=ci%2fcd%20goat%20_060422https://www./top-10-cicd-security-risks/?utm_source=github&utm_medium=github_page&utm_campaign=ci%2fcd%20goat_060422
|
