GraphQL Injection PoC
Security research
Эмпирическая проверка находки об инъекции через имя файла в claude-code-action.An empirical test of a filename-injection finding in claude-code-action.Емпірична перевірка знахідки про ін'єкцію через ім'я файлу в claude-code-action.
О проектеOverviewПро проєкт
Небольшой исследовательский PoC: проверка гипотезы об уязвимости инъекции через имя файла в одном из популярных GitHub Action. Имя файла — это входные данные, и если их не экранировать, в них можно спрятать команду.
Такие маленькие проверки — обычная рутина в исследовании безопасности и bug bounty: есть гипотеза, нужен минимальный воспроизводимый пример, который её подтверждает или опровергает.
Часть моей работы в области поиска уязвимостей — наряду с аудитом онлайн-зачётки и проектом FreeMarks.
A small research PoC: testing a hypothesis about a filename-injection vulnerability in a popular GitHub Action. A filename is input data, and if it isn't escaped, a command can be hidden inside it.
Such small tests are routine in security research and bug bounty: there's a hypothesis, and you need a minimal reproducible example that confirms or refutes it.
Part of my work in vulnerability research — alongside the online-gradebook audit and the FreeMarks project.
Невеликий дослідницький PoC: перевірка гіпотези про вразливість ін'єкції через ім'я файлу в популярному GitHub Action.
Такі маленькі перевірки — звична рутина в дослідженні безпеки: гіпотеза, мінімальний відтворюваний приклад.
Частина моєї роботи в пошуку вразливостей.
ОсобенностиFeaturesОсобливості
- Проверка гипотезы об инъекции через имя файла
- Минимальный воспроизводимый пример
- Рутина исследования безопасности и bug bounty
- Часть моей работы по поиску уязвимостей
- Tests a filename-injection hypothesis
- A minimal reproducible example
- The routine of security research and bug bounty
- Part of my vulnerability-research work
- Перевірка гіпотези про ін'єкцію через ім'я файлу
- Мінімальний відтворюваний приклад
- Рутина дослідження безпеки та bug bounty
- Частина моєї роботи з пошуку вразливостей