<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
Controlla ulteriori dettagli su [**https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)
ImageMagick, una libreria versatile per l'elaborazione delle immagini, presenta una sfida nella configurazione della sua politica di sicurezza a causa delle sue numerose opzioni e della mancanza di una documentazione online dettagliata. Gli utenti spesso creano politiche basate su fonti internet frammentate, portando a potenziali errori di configurazione. La libreria supporta una vasta gamma di oltre 100 formati di immagine, ognuno dei quali contribuisce alla sua complessità e al suo profilo di vulnerabilità, come dimostrato dagli incidenti di sicurezza storici.
Per affrontare queste sfide, è stato sviluppato uno [strumento](https://imagemagick-secevaluator.doyensec.com/) per aiutare nella progettazione e nell'audit delle politiche di sicurezza di ImageMagick. Questo strumento si basa su una ricerca approfondita e mira a garantire che le politiche siano non solo robuste, ma anche prive di falle che potrebbero essere sfruttate.
## Approccio della lista di consentiti vs lista di esclusi
Storicamente, le politiche di ImageMagick si basavano su un approccio di lista di esclusi, in cui specifici codificatori avevano l'accesso negato. Tuttavia, i cambiamenti in ImageMagick 6.9.7-7 hanno invertito questo paradigma, consentendo un approccio di lista di consentiti. Questo approccio nega prima l'accesso a tutti i codificatori e quindi concede selettivamente l'accesso a quelli fidati, migliorando la postura di sicurezza.
## Sensibilità alle maiuscole e minuscole nelle politiche
È fondamentale notare che i modelli di politica in ImageMagick sono sensibili alle maiuscole e minuscole. Pertanto, è essenziale assicurarsi che i codici e i moduli siano correttamente scritti in maiuscolo nelle politiche per evitare autorizzazioni non intenzionali.
ImageMagick è soggetto a attacchi di negazione del servizio se non configurato correttamente. Impostare limiti espliciti delle risorse nella politica è essenziale per prevenire tali vulnerabilità.
Le politiche possono essere frammentate su diverse installazioni di ImageMagick, portando a potenziali conflitti o sovrascritture. Si consiglia di individuare e verificare i file di politica attivi utilizzando comandi come:
È stato proposto un modello di politica restrittiva che si concentra su limitazioni rigorose delle risorse e controlli di accesso. Questo modello serve come base per lo sviluppo di politiche personalizzate che si allineano con i requisiti specifici dell'applicazione.
L'efficacia di una politica di sicurezza può essere confermata utilizzando il comando `identify -list policy` in ImageMagick. Inoltre, lo strumento di valutazione menzionato in precedenza può essere utilizzato per perfezionare la politica in base alle esigenze individuali.
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai repository github di** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
