# ImageMagick Bezbednost
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
Proverite dodatne detalje na [**https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)
ImageMagick, svestrana biblioteka za obradu slika, predstavlja izazov u konfigurisanju svoje bezbednosne politike zbog svojih brojnih opcija i nedostatka detaljne online dokumentacije. Korisnici često kreiraju politike na osnovu fragmentiranih internet izvora, što može dovesti do potencijalnih grešaka u konfiguraciji. Biblioteka podržava veliki broj od preko 100 formata slika, što doprinosi njenoj kompleksnosti i profilu ranjivosti, kao što su pokazali istorijski bezbednosni incidenti.
## Ka bezbednijim politikama
Da bi se rešili ovi izazovi, [razvijen je alat](https://imagemagick-secevaluator.doyensec.com/) koji pomaže u dizajniranju i proveri bezbednosnih politika ImageMagick-a. Ovaj alat se temelji na obimnom istraživanju i ima za cilj da osigura da politike budu ne samo robusne, već i bez propusta koji bi mogli biti iskorišćeni.
## Pristup dozvoljenih i zabranjenih stavki
Istoriski, ImageMagick politike su se oslanjale na pristup zabranjenih stavki, gde su određeni kodovi bili zabranjeni. Međutim, promene u ImageMagick 6.9.7-7 su promenile ovaj paradigmu, omogućavajući pristup dozvoljenih stavki. Ovaj pristup prvo zabranjuje sve kodere, a zatim selektivno omogućava pristup pouzdanim, poboljšavajući bezbednost.
```xml
...
...
```
## Case Sensitivity in Policies
Važno je napomenuti da su obrasci politika u ImageMagicku osetljivi na velika i mala slova. Stoga je od vitalnog značaja da se kodovi i moduli pravilno koriste velikim slovima u politikama kako bi se sprečile neželjene dozvole.
## Ograničenja resursa
ImageMagick je podložan napadima uskraćivanja usluge ako nije pravilno konfigurisan. Postavljanje eksplicitnih ograničenja resursa u politici je ključno kako bi se sprečile takve ranjivosti.
## Fragmentacija politika
Politike mogu biti fragmentirane na različitim instalacijama ImageMagicka, što može dovesti do potencijalnih konflikata ili prebrisavanja. Preporučuje se pronalaženje i provera aktivnih datoteka politika korišćenjem komandi poput:
```shell
$ find / -iname policy.xml
```
## Početna, restriktivna politika
Predložen je šablon restriktivne politike koji se fokusira na stroge ograničenja resursa i kontrolu pristupa. Ovaj šablon služi kao osnova za razvoj prilagođenih politika koje se usklađuju sa specifičnim zahtevima aplikacije.
Efektivnost sigurnosne politike može se potvrditi korišćenjem komande `identify -list policy` u ImageMagick-u. Dodatno, alat [evaluator](https://imagemagick-secevaluator.doyensec.com/) koji je ranije pomenut može se koristiti za usavršavanje politike na osnovu individualnih potreba.
## Reference
* [https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**](https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html)
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju oglašenu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu**, proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.