# Usalama wa ImageMagick
Jifunze kuhusu kudukua AWS kutoka mwanzo hadi kuwa bingwa na htARTE (HackTricks AWS Red Team Expert)!
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikionekana kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
Angalia maelezo zaidi katika [**https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)
ImageMagick, maktaba yenye uwezo wa kusindika picha, inawakilisha changamoto katika kuweka sera yake ya usalama kutokana na chaguzi zake nyingi na ukosefu wa nyaraka za mtandaoni zilizojaa maelezo. Watumiaji mara nyingi hujenga sera kwa kutegemea vyanzo vya mtandao vilivyovunjika, ambavyo vinaweza kusababisha makosa ya usanidi. Maktaba hii inasaidia aina mbalimbali ya zaidi ya muundo wa picha 100, kila moja ikichangia katika utata wake na maelezo ya hatari, kama inavyothibitishwa na matukio ya zamani ya usalama.
## Kuelekea Sera Salama
Kukabiliana na changamoto hizi, [zana imeendelezwa](https://imagemagick-secevaluator.doyensec.com/) ili kusaidia katika kubuni na ukaguzi wa sera za usalama za ImageMagick. Zana hii imejengwa kwa msingi wa utafiti mpana na lengo lake ni kuhakikisha sera zina nguvu na pia hazina mwanya ambao unaweza kutumiwa.
## Njia ya Orodha ya Kuruhusiwa dhidi ya Orodha ya Kukataliwa
Kihistoria, sera za ImageMagick zilitegemea njia ya orodha ya kukataliwa, ambapo wakodishi maalum walikataliwa kupata. Walakini, mabadiliko katika ImageMagick 6.9.7-7 yalibadilisha mtazamo huu, kuruhusu njia ya orodha ya kuruhusiwa. Njia hii kwanza inakataa wakodishi wote na kisha inaruhusu upatikanaji kwa wale walioaminika, kuimarisha usalama.
```xml
...
...
```
## Ulinganifu wa Kesi katika Sera
Ni muhimu kuzingatia kuwa mifano ya sera katika ImageMagick inazingatia herufi kubwa na ndogo. Kwa hiyo, ni muhimu kuhakikisha kuwa wakodishi na moduli zimeandikwa kwa herufi kubwa kwa usahihi katika sera ili kuzuia idhini zisizokusudiwa.
## Vizuizi vya Rasilmali
ImageMagick inaweza kuwa hatarini kwa mashambulizi ya kukataa huduma ikiwa haijasanidiwa vizuri. Kuweka vizuizi vya wazi vya rasilmali katika sera ni muhimu ili kuzuia udhaifu kama huo.
## Ufutaji wa Sera
Sera inaweza kugawanywa katika ufungaji tofauti wa ImageMagick, hivyo kusababisha migogoro au kubadilishana. Inashauriwa kutambua na kuthibitisha faili za sera zilizo hai kwa kutumia amri kama vile:
```shell
$ find / -iname policy.xml
```
## Sera ya Mwanzo, Sera ya Kizuizi
Kuna kigezo cha sera ya kizuizi ambacho kimependekezwa, kikilenga kikomo kali cha rasilimali na udhibiti wa ufikiaji. Kigezo hiki kinatumika kama msingi wa kukuza sera zilizobinafsishwa ambazo zinaendana na mahitaji maalum ya programu.
Ufanisi wa sera ya usalama unaweza kuthibitishwa kwa kutumia amri ya `identify -list policy` katika ImageMagick. Zaidi ya hayo, zana ya [mchambuzi](https://imagemagick-secevaluator.doyensec.com/) iliyotajwa hapo awali inaweza kutumika kuboresha sera kulingana na mahitaji ya mtu binafsi.
## Marejeo
* [https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.