hacktricks/network-services-pentesting/pentesting-web/imagemagick-security.md

# ImageMagick सुरक्षा

{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks का समर्थन करें</summary>

* [**सदस्यता योजनाएँ**](https://github.com/sponsors/carlospolop) देखें!
* **हमारे** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**telegram समूह**](https://t.me/peass) में शामिल हों या **हमारे** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** का पालन करें।**
* **हैकिंग ट्रिक्स साझा करें और** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) गिटहब रिपोजिटरी में PR सबमिट करें।

</details>
{% endhint %}

अधिक जानकारी के लिए [**https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html) पर जाएं

ImageMagick, एक बहुपरकारी छवि प्रसंस्करण पुस्तकालय, अपनी सुरक्षा नीति को कॉन्फ़िगर करने में चुनौती प्रस्तुत करता है क्योंकि इसके पास व्यापक विकल्प हैं और विस्तृत ऑनलाइन दस्तावेज़ की कमी है। उपयोगकर्ता अक्सर विखंडित इंटरनेट स्रोतों के आधार पर नीतियाँ बनाते हैं, जिससे संभावित गलत कॉन्फ़िगरेशन हो सकता है। यह पुस्तकालय 100 से अधिक छवि प्रारूपों की एक विशाल श्रृंखला का समर्थन करता है, जो इसकी जटिलता और संवेदनशीलता प्रोफ़ाइल में योगदान करता है, जैसा कि ऐतिहासिक सुरक्षा घटनाओं से प्रदर्शित होता है।

## सुरक्षित नीतियों की ओर
इन चुनौतियों का समाधान करने के लिए, [एक उपकरण विकसित किया गया है](https://imagemagick-secevaluator.doyensec.com/) जो ImageMagick की सुरक्षा नीतियों को डिजाइन और ऑडिट करने में मदद करता है। यह उपकरण व्यापक शोध पर आधारित है और यह सुनिश्चित करने का लक्ष्य रखता है कि नीतियाँ न केवल मजबूत हों बल्कि उन छिद्रों से भी मुक्त हों जिन्हें शोषित किया जा सकता है।

## अनुमति सूची बनाम निषेध सूची दृष्टिकोण
ऐतिहासिक रूप से, ImageMagick नीतियाँ एक निषेध सूची दृष्टिकोण पर निर्भर करती थीं, जहाँ विशिष्ट कोडर्स को पहुँच से वंचित किया गया था। हालाँकि, ImageMagick 6.9.7-7 में बदलाव ने इस पैरेडाइम को बदल दिया, जिससे अनुमति सूची दृष्टिकोण को सक्षम किया गया। यह दृष्टिकोण पहले सभी कोडर्स को मना करता है और फिर विश्वसनीय कोडर्स को चयनात्मक रूप से पहुँच प्रदान करता है, जिससे सुरक्षा स्थिति में सुधार होता है।
```xml
...
<policy domain="coder" rights="none" pattern="*" />
<policy domain="coder" rights="read | write" pattern="{GIF,JPEG,PNG,WEBP}" />
...
```
## नीतियों में केस संवेदनशीलता
यह ध्यान रखना महत्वपूर्ण है कि ImageMagick में नीति पैटर्न केस संवेदनशील होते हैं। इसलिए, नीतियों में कोडर्स और मॉड्यूल को सही ढंग से अपरकेस करना अनिवार्य है ताकि अनपेक्षित अनुमतियों से बचा जा सके।

## संसाधन सीमाएँ
यदि सही ढंग से कॉन्फ़िगर नहीं किया गया तो ImageMagick सेवा से इनकार के हमलों के प्रति संवेदनशील है। ऐसी कमजोरियों से बचने के लिए नीति में स्पष्ट संसाधन सीमाएँ निर्धारित करना आवश्यक है।

## नीति विखंडन
नीतियाँ विभिन्न ImageMagick इंस्टॉलेशन में विखंडित हो सकती हैं, जिससे संभावित संघर्ष या ओवरराइड हो सकते हैं। सक्रिय नीति फ़ाइलों को खोजने और सत्यापित करने के लिए कमांड का उपयोग करने की सिफारिश की जाती है:
```shell
$ find / -iname policy.xml
```
## एक प्रारंभिक, प्रतिबंधात्मक नीति
एक प्रतिबंधात्मक नीति टेम्पलेट प्रस्तावित किया गया है, जो सख्त संसाधन सीमाओं और पहुंच नियंत्रणों पर केंद्रित है। यह टेम्पलेट विशिष्ट अनुप्रयोग आवश्यकताओं के साथ संरेखित अनुकूलित नीतियों के विकास के लिए एक आधार के रूप में कार्य करता है।

एक सुरक्षा नीति की प्रभावशीलता को ImageMagick में `identify -list policy` कमांड का उपयोग करके पुष्टि की जा सकती है। इसके अतिरिक्त, पहले उल्लेखित [evaluator tool](https://imagemagick-secevaluator.doyensec.com/) का उपयोग व्यक्तिगत आवश्यकताओं के आधार पर नीति को परिष्कृत करने के लिए किया जा सकता है।

## संदर्भ
* [https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)


{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}
Translated to Hindi 2023-11-06 08:38:02 +00:00			`# ImageMagick सुरक्षा`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`{% hint style="success" %}`
			`AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`<details>`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`<summary>HackTricks का समर्थन करें</summary>`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`* [सदस्यता योजनाएँ](https://github.com/sponsors/carlospolop) देखें!`
			`* हमारे 💬 [Discord समूह](https://discord.gg/hRep4RUj7f) या [telegram समूह](https://t.me/peass) में शामिल हों या हमारे Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live) का पालन करें।`
			`* हैकिंग ट्रिक्स साझा करें और [HackTricks](https://github.com/carlospolop/hacktricks) और [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) गिटहब रिपोजिटरी में PR सबमिट करें।`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 23:20:46 +00:00			`</details>`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`{% endhint %}`

			`अधिक जानकारी के लिए [https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html) पर जाएं`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			ImageMagick, एक बहुपरकारी छवि प्रसंस्करण पुस्तकालय, अपनी सुरक्षा नीति को कॉन्फ़िगर करने में चुनौती प्रस्तुत करता है क्योंकि इसके पास व्यापक विकल्प हैं और विस्तृत ऑनलाइन दस्तावेज़ की कमी है। उपयोगकर्ता अक्सर विखंडित इंटरनेट स्रोतों के आधार पर नीतियाँ बनाते हैं, जिससे संभावित गलत कॉन्फ़िगरेशन हो सकता है। यह पुस्तकालय 100 से अधिक छवि प्रारूपों की एक विशाल श्रृंखला का समर्थन करता है, जो इसकी जटिलता और संवेदनशीलता प्रोफ़ाइल में योगदान करता है, जैसा कि ऐतिहासिक सुरक्षा घटनाओं से प्रदर्शित होता है।
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`## सुरक्षित नीतियों की ओर`
			इन चुनौतियों का समाधान करने के लिए, [एक उपकरण विकसित किया गया है](https://imagemagick-secevaluator.doyensec.com/) जो ImageMagick की सुरक्षा नीतियों को डिजाइन और ऑडिट करने में मदद करता है। यह उपकरण व्यापक शोध पर आधारित है और यह सुनिश्चित करने का लक्ष्य रखता है कि नीतियाँ न केवल मजबूत हों बल्कि उन छिद्रों से भी मुक्त हों जिन्हें शोषित किया जा सकता है।
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`## अनुमति सूची बनाम निषेध सूची दृष्टिकोण`
			ऐतिहासिक रूप से, ImageMagick नीतियाँ एक निषेध सूची दृष्टिकोण पर निर्भर करती थीं, जहाँ विशिष्ट कोडर्स को पहुँच से वंचित किया गया था। हालाँकि, ImageMagick 6.9.7-7 में बदलाव ने इस पैरेडाइम को बदल दिया, जिससे अनुमति सूची दृष्टिकोण को सक्षम किया गया। यह दृष्टिकोण पहले सभी कोडर्स को मना करता है और फिर विश्वसनीय कोडर्स को चयनात्मक रूप से पहुँच प्रदान करता है, जिससे सुरक्षा स्थिति में सुधार होता है।
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00			```xml
Translated to Hindi 2023-11-06 08:38:02 +00:00			`...`
			`<policy domain="coder" rights="none" pattern="*" />`
			`<policy domain="coder" rights="read \| write" pattern="{GIF,JPEG,PNG,WEBP}" />`
			`...`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00			```
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`## नीतियों में केस संवेदनशीलता`
			`यह ध्यान रखना महत्वपूर्ण है कि ImageMagick में नीति पैटर्न केस संवेदनशील होते हैं। इसलिए, नीतियों में कोडर्स और मॉड्यूल को सही ढंग से अपरकेस करना अनिवार्य है ताकि अनपेक्षित अनुमतियों से बचा जा सके।`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 23:20:46 +00:00			`## संसाधन सीमाएँ`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`यदि सही ढंग से कॉन्फ़िगर नहीं किया गया तो ImageMagick सेवा से इनकार के हमलों के प्रति संवेदनशील है। ऐसी कमजोरियों से बचने के लिए नीति में स्पष्ट संसाधन सीमाएँ निर्धारित करना आवश्यक है।`
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			`## नीति विखंडन`
			नीतियाँ विभिन्न ImageMagick इंस्टॉलेशन में विखंडित हो सकती हैं, जिससे संभावित संघर्ष या ओवरराइड हो सकते हैं। सक्रिय नीति फ़ाइलों को खोजने और सत्यापित करने के लिए कमांड का उपयोग करने की सिफारिश की जाती है:
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 23:20:46 +00:00			```shell
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00			`$ find / -iname policy.xml`
			```
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 23:20:46 +00:00			`## एक प्रारंभिक, प्रतिबंधात्मक नीति`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			एक प्रतिबंधात्मक नीति टेम्पलेट प्रस्तावित किया गया है, जो सख्त संसाधन सीमाओं और पहुंच नियंत्रणों पर केंद्रित है। यह टेम्पलेट विशिष्ट अनुप्रयोग आवश्यकताओं के साथ संरेखित अनुकूलित नीतियों के विकास के लिए एक आधार के रूप में कार्य करता है।
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00			एक सुरक्षा नीति की प्रभावशीलता को ImageMagick में `identify -list policy` कमांड का उपयोग करके पुष्टि की जा सकती है। इसके अतिरिक्त, पहले उल्लेखित [evaluator tool](https://imagemagick-secevaluator.doyensec.com/) का उपयोग व्यक्तिगत आवश्यकताओं के आधार पर नीति को परिष्कृत करने के लिए किया जा सकता है।
GitBook: [#3751] No subject 2023-01-16 14:53:23 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 23:20:46 +00:00			`## संदर्भ`
			`* [https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:20:41 +00:00


			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

			`<summary>Support HackTricks</summary>`

			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`

			`</details>`
			`{% endhint %}`