* **Şirketinizi HackTricks'te reklamını görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
Daha fazla ayrıntıyı [**https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html) adresinde kontrol edin.
ImageMagick, çok yönlü bir görüntü işleme kütüphanesi, geniş seçenekleri ve detaylı çevrimiçi belgelendirmenin eksikliği nedeniyle güvenlik politikasını yapılandırmada bir zorluk sunar. Kullanıcılar genellikle parçalanmış internet kaynaklarına dayalı politikalar oluştururlar, bu da potansiyel yanlış yapılandırmalara yol açar. Kütüphane, 100'den fazla görüntü formatını destekler ve her biri tarihsel güvenlik olayları tarafından gösterilen karmaşıklık ve zayıflık profiline katkıda bulunur.
Bu zorlukları ele almak için, ImageMagick'in güvenlik politikalarının tasarlanmasına ve denetlenmesine yardımcı olmak için bir [araç geliştirilmiştir](https://imagemagick-secevaluator.doyensec.com/). Bu araç, kapsamlı araştırmalara dayanmaktadır ve politikaların sadece sağlam değil, aynı zamanda istismar edilebilecek açıklar içermeyen şekilde olmasını amaçlamaktadır.
Tarihsel olarak, ImageMagick politikaları, belirli kodlayıcılara erişimin reddedildiği bir denylist yaklaşımına dayanıyordu. Ancak, ImageMagick 6.9.7-7'deki değişiklikler bu paradigmayı değiştirdi ve bir allowlist yaklaşımını mümkün kıldı. Bu yaklaşım önce tüm kodlayıcılara erişimi reddeder ve daha sonra güvenilir olanlara seçici olarak erişim izni vererek güvenlik durumunu artırır.
ImageMagick'teki politika desenlerinin büyük-küçük harf duyarlı olduğunu unutmamak önemlidir. Bu nedenle, kodlayıcıların ve modüllerin politikalarda doğru bir şekilde büyük harfle yazıldığından emin olmak, istenmeyen izinlerin önlenmesi için hayati öneme sahiptir.
ImageMagick, doğru bir şekilde yapılandırılmazsa hizmet reddi saldırılarına karşı hassastır. Politikada açık kaynak sınırlarını belirlemek, bu tür zayıflıkların önlenmesi için önemlidir.
Politikalar, farklı ImageMagick kurulumları arasında parçalanabilir ve potansiyel çakışmalara veya geçersiz kılmalara neden olabilir. Etkin politika dosyalarını bulmak ve doğrulamak için aşağıdaki gibi komutları kullanmak önerilir:
Kısıtlayıcı bir politika şablonu önerilmiştir ve sıkı kaynak sınırlamaları ve erişim kontrollerine odaklanmaktadır. Bu şablon, belirli uygulama gereksinimleriyle uyumlu özelleştirilmiş politikalar geliştirmek için bir temel olarak hizmet vermektedir.
Bir güvenlik politikasının etkinliği, ImageMagick'te `identify -list policy` komutunu kullanarak doğrulanabilir. Ayrıca, daha önce bahsedilen [değerlendirici araç](https://imagemagick-secevaluator.doyensec.com/), bireysel ihtiyaçlara dayalı olarak politikayı iyileştirmek için kullanılabilir.
<summary><strong>AWS hacklemeyi sıfırdan kahraman olacak şekilde öğrenin</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Şirketinizi HackTricks'te **reklamınızı görmek** veya HackTricks'i **PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family)
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'u takip edin**.
